(1)

O Regulamento (UE) 2016/679 estabelece as regras relativas à transferência de dados pessoais para países terceiros e organizações internacionais pelos responsáveis pelo tratamento e subcontratantes na União Europeia, na medida em que essa transferência seja abrangida pelo respetivo âmbito de aplicação. As regras relativas às transferências internacionais de dados pessoais são definidas no capítulo V do referido Regulamento, mais concretamente nos artigos 44.o a 50.o. O fluxo de dados pessoais com origem em países não pertencentes à União Europeia ou a eles destinado é necessário para se poder aprofundar a cooperação e o comércio internacionais, garantindo, simultaneamente, que o nível de proteção dos dados pessoais conferido na União Europeia não é comprometido.

(2)

Nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679, a Comissão pode decidir, por meio de um ato de execução, que um país terceiro, um território, um ou mais setores específicos desse país terceiro, ou uma organização internacional, garantem um nível de proteção adequado. Nessa condição, as transferências de dados pessoais para esse país terceiro, território, setor ou organização internacional podem ser efetuadas sem que seja necessária mais nenhuma autorização, como previsto no artigo 45.o, n.o 1, e no considerando 103 do Regulamento.

(3)

Como especificado no artigo 45.o, n.o 2, do Regulamento (UE) 2016/679, a adoção de uma decisão de adequação deve basear-se numa análise exaustiva da ordem jurídica do país terceiro no que se refere tanto às regras aplicáveis aos importadores de dados como às limitações e garantias relativas ao acesso aos dados pessoais pelas autoridades públicas. Essa análise deve permitir apurar se o país terceiro em causa garante um nível de proteção «essencialmente equivalente» ao assegurado na União Europeia [considerando 104 do Regulamento (UE) 2016/679]. Como foi esclarecido pelo Tribunal de Justiça da União Europeia, não é exigido um nível de proteção idêntico (2). Mais concretamente, os meios a que o país terceiro recorre podem ser diferentes dos aplicados na União Europeia, desde que se revelem, na prática, eficazes para assegurar um nível adequado de proteção (3). Por conseguinte, o padrão de adequação não exige que as regras da União sejam replicadas ponto por ponto. Em vez disso, importa aferir sobretudo se, através do teor dos direitos de privacidade e da sua aplicação, controlo e execução efetivos, o sistema estrangeiro consegue, no seu conjunto, garantir o nível de proteção exigido (4).

(4)

A Comissão procedeu a uma análise cuidadosa da legislação e das práticas do Japão. Com base nas constatações formuladas nos considerandos 6 a 175, a Comissão conclui que o Japão assegura um nível de proteção adequado dos dados pessoais transferidos para as organizações abrangidas pelo âmbito de aplicação da Lei relativa à proteção de informações pessoais (5) e sujeitos às condições adicionais previstas na presente decisão. Essas condições são definidas nas normas complementares (anexo I) adotadas pela Comissão de Proteção de Informações Pessoais (PPC) (6) e nas declarações, garantias e compromissos oficiais transmitidos pelo Governo japonês à Comissão Europeia (anexo II).

(5)

Em resultado da presente decisão, as transferências de um responsável pelo tratamento de dados ou de um subcontratante no Espaço Económico Europeu (EEE) (7) para as referidas organizações no Japão podem ser efetuadas sem que seja necessária mais nenhuma autorização. A presente decisão não afeta a aplicação direta do Regulamento (UE) 2016/679 a essas organizações, desde que estejam preenchidas as condições fixadas no artigo 3.o.

(6)

O sistema jurídico que rege a privacidade e a proteção dos dados no Japão tem origem na Constituição promulgada em 1946.

(7)

O artigo 13.o da Constituição enuncia:

«Todas as pessoas devem ser respeitadas enquanto indivíduos. O seu direito à vida, à liberdade e à prossecução da felicidade, na medida em que não atente contra o bem-estar público, deve constituir a consideração suprema na legislação e noutros assuntos governamentais.»

(8)

Com base neste artigo, o Supremo Tribunal japonês clarificou os direitos individuais no que se refere à proteção das informações pessoais. Numa decisão de 1969, reconheceu o direito à privacidade e à proteção de dados como um direito constitucional (8). O Tribunal considerou, nomeadamente, que «todas os indivíduos têm a liberdade de proteger as suas informações pessoais contra a transmissão a terceiros ou a divulgação pública sem motivo justificado.» Além disso, numa decisão de 6 de março de 2008 («Juki-Net») (9), o Supremo Tribunal considerou que «a liberdade dos cidadãos na vida privada deve ser protegida contra o exercício da autoridade pública e que pode entender-se, como uma das liberdades individuais na vida privada, que cada indivíduo tem a liberdade de proteger as suas informações pessoais contra a transmissão a terceiros ou a divulgação pública sem motivo justificado.» (10)

(9)

Em 30 de maio de 2003, o Japão promulgou um conjunto de leis no domínio da proteção de dados:

(10)

As duas últimas leis (alteradas em 2016) contêm disposições aplicáveis à proteção de informações pessoais pelas entidades do setor público. O tratamento dos dados abrangido pelo âmbito de aplicação destes diplomas não é objeto da verificação de adequação a que a presente decisão se refere, a qual se limita à proteção das informações pessoais pelos «operadores comerciais responsáveis pela gestão de informações pessoais» (PIHBO), na aceção da APPI.

(11)

A APPI foi recentemente reformulada. A APPI alterada foi promulgada em 9 de setembro de 2015 e entrou em vigor em 30 de maio de 2017. Essa alteração introduziu um conjunto de novas garantias, tendo reforçado igualmente as garantias já existentes, tornando assim o sistema de proteção de dados japonês mais semelhante ao europeu. Essas garantias incluem, designadamente, um conjunto de direitos individuais oponíveis ou a criação de uma autoridade de controlo independente (PPC) responsável pela supervisão e aplicação coerciva da APPI.

(12)

Além da APPI, o tratamento das informações pessoais abrangido pelo âmbito de aplicação da presente decisão está sujeito a normas de execução adotadas com base na referida lei. Tal inclui uma alteração ao decreto ministerial de execução da Lei relativa à proteção de informações pessoais de 5 de outubro de 2016, assim como as chamadas normas de execução da Lei relativa à proteção de informações pessoais adotadas pela PPC (11). Os dois conjuntos normativos são juridicamente vinculativas e oponíveis, tendo entrado em vigor ao mesmo tempo que a alteração da APPI.

(13)

Por outro lado, em 28 de outubro de 2016, o Conselho de Ministros do Japão (composto pelo primeiro-ministro e pelos ministros que constituem o Governo) definiu uma «Política de base» a fim de «promover de forma abrangente e integral medidas relativas à proteção das informações pessoais». Nos termos do artigo 7.o da APPI, a «Política de base» foi promulgada sob a forma de decisão do Conselho de Ministros e inclui orientações políticas relativas à aplicação coerciva da APPI, destinadas à administração central e aos órgãos de poder local.

(14)

Recentemente, através de uma decisão do Conselho de Ministros de 12 de junho de 2018, o Governo japonês alterou a «Política de base». Com vista a facilitar as transferências internacionais de dados, a referida decisão do Conselho de Ministros delega na PPC, enquanto autoridade competente para administrar e aplicar a APPI, «poderes para tomar as medidas necessárias no sentido de ultrapassar as divergências dos sistemas e das operações entre o Japão e o país estrangeiro em causa, com base no artigo 6.o da Lei, por forma a assegurar o tratamento adequado das informações pessoais provenientes desse país». A decisão do Conselho de Ministros estipula que os referidos poderes incluem a competência para proporcionar uma proteção reforçada mediante a adoção pela PPC de regras mais rígidas que complementem e excedam as definidas na APPI e no decreto ministerial. Nos termos dessa decisão, essas regras mais rígidas são vinculativas e oponíveis em relação aos operadores comerciais japoneses.

(15)

Com base no artigo 6.o da APPI e na referida decisão do Conselho de Ministros, em 15 de junho de 2018, a PPC adotou «Normas complementares ao abrigo da lei relativa à proteção de informações pessoais para o tratamento de dados pessoais transferidos da UE com base numa decisão de adequação» (as «normas complementares»), com vista a reforçar a proteção das informações pessoais transferidas da União Europeia para o Japão com base na presente decisão de adequação. Tais normas complementares são juridicamente vinculativas para os operadores comerciais japoneses e passíveis de execução tanto pela PPC como pelos tribunais, da mesma forma que as disposições da APPI que estas normas complementam, com regras mais rígidas e/ou mais exaustivas (12). Uma vez que os operadores comerciais japoneses que recebem e/ou tratam dados pessoais originários da União Europeia são legalmente obrigados a cumprir as normas complementares, deverão assegurar [nomeadamente por meios técnicos («marcação») ou organizacionais (armazenamento numa base de dados específica)] que podem identificar esses dados pessoais ao longo do seu «ciclo de vida» (13). Nas secções seguintes, analisa-se o teor de cada norma complementar no âmbito da avaliação dos artigos da APPI que complementa.

(16)

Contrariamente à situação anterior à alteração de 2015, em que esta competência cabia a vários ministérios japoneses em setores específicos, a APPI confere poderes à PPC para adotar «orientações que assegurem a aplicação apropriada e eficaz das medidas a adotar pelos operadores comerciais» ao abrigo das normas em matéria de proteção de dados. Através das suas orientações, a PPC fornece uma interpretação vinculativa dessas normas, nomeadamente da APPI. Segundo as informações prestadas pela PPC, as referidas orientações fazem parte integrante do quadro jurídico e devem ser lidas conjuntamente com o texto da APPI, o decreto ministerial, as normas da PPC e um conjunto de P&R (14) preparadas pela PPC, sendo, por conseguinte, «vinculativas para os operadores comerciais». Sempre que as orientações especifiquem que um operador comercial «não pode» ou «não deve» agir de determinada forma, a PPC considera que o incumprimento das disposições em causa representa uma violação da lei (15).

(17)

O âmbito de aplicação da APPI é determinado pelos conceitos definidos de informações pessoais, dados pessoais e operador comercial responsável pela gestão de informações pessoais. Ao mesmo tempo, a APPI prevê algumas derrogações importantes ao respetivo âmbito de aplicação, sendo as mais importantes as que se referem aos dados pessoais tratados anonimamente e aos tipos de tratamento específicos por determinados operadores. Embora não utilize a expressão «tratamento», a APPI recorre ao conceito equivalente de «gestão» (handling) que, segundo as informações recebidas do PPC, abrange «qualquer ato relativo a dados pessoais», nomeadamente a obtenção, contribuição, acumulação, organização, armazenamento, edição/tratamento, renovação, supressão, produção, utilização ou fornecimento de informações pessoais.

(18)

Em primeiro lugar, no que se refere ao respetivo âmbito de aplicação material, a APPI faz a distinção entre informações pessoais e dados pessoais, sendo que somente algumas das disposições da lei se aplicam à primeira categoria. Nos termos do artigo 2.o, n.o 1, da APPI, o conceito de «informações pessoais» inclui toda e qualquer informação respeitante a uma pessoa viva que permita a sua identificação. A definição distingue duas categorias de informações pessoais: i) códigos de identificação individuais e ii) outras informações pessoais pelas quais uma determinada pessoa singular pode ser identificada. A última categoria inclui igualmente informações que, por si só, não permitem a identificação, mas que, quando «cotejadas» com outras informações, permitem identificar determinada pessoa singular. De acordo com as orientações da PPC (16), a avaliação sobre se as informações podem ser consideradas «cotejáveis» será realizada caso a caso, tendo em conta a situação real («condição») do operador comercial. Parte-se deste princípio se a referida recolha for (ou puder ser) realizada por um operador comercial médio («normal») recorrendo aos meios ao seu dispor. Por exemplo, as informações não são consideradas «cotejáveis» com outras informações quando o operador comercial tenha de envidar esforços inusitados ou de cometer atos ilegais para as obter junto de outro ou de outros operadores comerciais.

(19)

Só alguns tipos de informações pessoais são abrangidos pelo conceito de «dados pessoais» ao abrigo da APPI. Com efeito, os «dados pessoais» são definidos como «informações pessoais que constituem uma base de dados de informações pessoais», isto é, um «conjunto global de informações» que compreende informações pessoais «sistematicamente organizadas para que seja possível pesquisar informações pessoais específicas através de um computador» (17) ou «determinadas por decreto ministerial como tendo sido sistematicamente organizadas para que seja possível pesquisar informações pessoais específicas» mas «excluindo as determinadas por decreto ministerial como sendo pouco suscetíveis de prejudicar os direitos e interesses de uma pessoa singular tendo em conta o respetivo método de utilização» (18).

(20)

Esta derrogação é mais pormenorizada no artigo 3.o, n.o 1, do decreto ministerial, segundo o qual devem ser satisfeitas três condições cumulativas: i) o conjunto global de informações ter sido «emitido com o objetivo de ser vendido a um grande número de pessoas não especificadas e essa emissão não tenha sido efetuada em violação das disposições da lei ou do decreto em que se baseia»; ii) este ser suscetível de ser «adquirido em qualquer altura por um grande número de pessoas não especificadas» e iii) os dados pessoais nele contidos serem fornecidos «para a sua finalidade original, sem acrescentar quaisquer outras informações relativas a pessoas vivas». Segundo as explicações fornecidas pela PPC, esta derrogação, muito circunscrita, foi introduzida para excluir as listas telefónicas ou outros tipos de listas semelhantes.

(21)

No caso dos dados recolhidos no Japão, esta distinção entre «informações pessoais» e «dados pessoais» é pertinente, uma vez que é possível que essas informações nem sempre façam parte de uma «base de dados de informações pessoais» (por exemplo, um único conjunto de dados recolhido e tratado manualmente) e, portanto, essas disposições da APPI, apenas respeitantes a dados pessoais, não são aplicáveis (19).

(22)

Em contrapartida, esta distinção não é relevante no caso de dados pessoais importados da União Europeia para o Japão com base numa decisão de adequação. Dado que esses dados são normalmente transferidos por meios eletrónicos (pois, na presente era digital, é esse é o modo habitual de intercâmbio de dados, especialmente nas grandes distâncias, como sucede entre a UE e o Japão), passando, por conseguinte, a fazer parte do sistema de arquivo eletrónico do importador dos dados, nos termos da APPI, esses dados da UE enquadram-se na categoria de «dados pessoais». No caso excecional de os dados pessoais serem transferidos da UE por outros meios (por exemplo, em suporte de papel), continuarão a ser abrangidos pela APPI se, após a transferência, passarem a fazer parte de um «conjunto global de informações» sistematicamente organizadas de modo a permitir uma pesquisa fácil de informações específicas [artigo 2.o, n.o 4, alínea ii) da APPI]. Nos termos do artigo 3.o, n.o 2, do decreto ministerial, será esse o caso quando a informação estiver estruturada «de acordo com uma regra específica» e a base de dados contemplar instrumentos como um índice ou um índice remissivo para facilitar a pesquisa. Isto corresponde à definição de «ficheiro» na aceção do artigo 2.o, n.o 1, do RGPD.

(23)

Algumas disposições da APPI relativas aos direitos individuais, nomeadamente os artigos 27.o a 30.o, apenas se aplicam a uma categoria específica de dados pessoais, nomeadamente aos «dados pessoais conservados». Estes encontram-se definidos no artigo 2.o, n.o 7, da APPI como dados pessoais, exceto aqueles que são i) «determinados por decreto ministerial como sendo suscetíveis de prejudicar o interesse público ou outros interesses, se a sua presença ou ausência for divulgada» ou que estão ii) «destinados a ser apagados num prazo não superior a um ano, determinado por decreto ministerial».

(24)

No que se refere à primeira destas duas categorias, é a mesma explicada no artigo 4.o do decreto ministerial e abrange quatro tipos de isenções (20). Estas isenções prosseguem objetivos semelhantes aos descritos no artigo 23.o, n.o 1, do Regulamento (UE) 2016/679, designadamente a defesa do titular dos dados («titular» segundo a terminologia da APPI) e a liberdade de outrem, a segurança nacional, a segurança pública, aplicação do direito penal ou outros objetivos importantes do interesse público geral. Além disso, a redação do artigo 4.o, n.o 1, alíneas i) a iv), do decreto ministerial implica que a aplicação dessas isenções pressuponha sempre um risco específico para um dos interesses importantes que são protegidos (21).

(25)

A segunda categoria foi objeto de maior particularização no artigo 5.o do decreto ministerial. Considerado em conjugação com o artigo 2.o, n.o 7, da APPI, isenta os dados pessoais, que estão «destinados a ser apagados» num prazo de seis meses, do âmbito de aplicação do conceito de dados pessoais conservados. A PPC explicou que esta isenção visa incentivar os operadores comerciais a conservar e a tratar os dados durante o período de tempo mais curto possível. No entanto, tal implicaria que os titulares de dados da UE não poderiam beneficiar de direitos importantes por nenhum outro motivo exceto o prazo de conservação dos seus dados pelo operador comercial em causa.

(26)

Por forma a resolver esta situação, a norma complementar 2 exige que os dados pessoais transferidos da União Europeia «sejam tratados como dados pessoais conservados na aceção do artigo 2.o, n.o 7, da lei, independentemente do prazo em que devam ser apagados». Deste modo, o prazo de conservação não terá qualquer influência sobre os direitos conferidos aos titulares de dados da UE.

(27)

As exigências aplicáveis às informações pessoais tratadas anonimamente, tal como definidas no artigo 2.o, n.o 9, da APPI, encontram-se estipuladas na secção 2 do capítulo 4 da lei («Obrigações de um operador comercial responsável pela gestão de informações tratadas anonimamente»). Em contrapartida, estas informações não se regem pelas disposições da secção 1 do capítulo IV da APPI, a qual inclui os artigos que estipulam as garantias e os direitos em matéria de proteção de dados aplicáveis ao tratamento de dados pessoais no âmbito da referida lei. Em consequência, embora não estejam sujeitas às normas de proteção «básicas» (as especificadas na secção 1 do capítulo IV e no artigo 42.o da APPI), as «informações pessoais tratadas anonimamente» são abrangidas pelo âmbito de aplicação da APPI, nomeadamente pelos artigos 36.o a 39.o.

(28)

Nos termos do artigo 2.o, n.o 9, da APPI, as «informações pessoais tratadas anonimamente» são informações relativas a uma pessoa singular que «foram geradas com base no tratamento de informações pessoais», através de medidas previstas na APPI (artigo 36.o, n.o 1) e especificadas nas normas da PPC (artigo 19.o), tendo como resultado a impossibilidade de identificar uma determinada pessoa singular ou reconstituir as informações pessoais.

(29)

Decorre das referidas disposições, o que a PPC também confirma, que o processo de tornar as informações pessoais «anónimas» não tem de ser tecnicamente irreversível. Nos termos do artigo 36.o, n.o 2, da APPI, os operadores comerciais responsáveis pela gestão de «informações pessoais tratadas anonimamente» são unicamente obrigados a evitar a reidentificação através da tomada de medidas que garantam a segurança das «descrições, etc. e dos códigos de identificação individuais apagados das informações pessoais utilizadas para gerar as informações tratadas anonimamente, bem como das informações relativas ao método de tratamento efetuado».

(30)

Dado que as «informações pessoais tratadas anonimamente», de acordo com a definição da APPI, incluem dados pelos quais continua a ser possível reidentificar a pessoa singular, a implicação poderá ser a de que os dados pessoais transferidos da União Europeia poderão perder parte das proteções disponíveis através de um processo que, nos termos do Regulamento (UE) 2016/679, seria considerado como uma forma de «pseudonimização» e não de «anonimização» (não alterando, portanto, a sua natureza de dados pessoais).

(31)

Para resolver esta situação, as normas complementares preveem exigências adicionais apenas aplicáveis aos dados pessoais transferidos da União Europeia no âmbito desta decisão. Nos termos da norma 5 das normas complementares, essas informações pessoais apenas serão consideradas como «informações pessoais tratadas anonimamente» na aceção da APPI «se o operador comercial responsável pela gestão das informações pessoais tomar medidas que tornem a desidentificação da pessoa singular irreversível para qualquer pessoa, incluindo através do apagamento das informações relativas ao método de tratamento, etc.». Estas últimas foram especificadas nas normas complementares como informações relativas às descrições de códigos de identificação individuais que foram apagados das informações pessoais utilizadas para gerar as «informações pessoais tratadas anonimamente», bem como as informações relativas ao método de tratamento aplicado no apagamento dessas descrições e códigos de identificação individuais. Por outras palavras, as normas complementares obrigam o operador comercial que gera «informações pessoais tratadas anonimamente» a destruir a «chave» que permite a reidentificação dos dados. Tal significa que os dados pessoais com origem na União Europeia são abrangidos pelas disposições da APPI no que se refere às «informações pessoais tratadas anonimamente» apenas nos casos em que sejam igualmente consideradas como informações anónimas nos termos do Regulamento (UE) 2016/679 (22).

(32)

No que diz respeito ao seu âmbito de aplicação pessoal, a APPI é unicamente aplicável aos PIHBO. O artigo 2.o, n.o 5, da APPI define um PIHBO como «uma pessoa que disponibiliza uma base de dados de informações pessoais, etc. para utilização na atividade comercial», excluindo o Governo e as agências administrativas tanto a nível central como local.

(33)

De acordo com as orientações da PPC, «atividade comercial» significa toda e qualquer «conduta destinada a exercer, com um determinado objetivo, repetida e continuamente, quer seja ou não com fins lucrativos, uma atividade empresarial socialmente reconhecida. As organizações sem personalidade jurídica (como as associações de facto) ou as pessoas singulares são consideradas como PIHBO se disponibilizarem (utilizarem) uma base de dados de informações pessoais, etc. para o exercício da sua atividade comercial (23). Por conseguinte, o conceito de «atividade comercial» nos termos da APPI é muito lato, uma vez que não só inclui atividades com fins lucrativos, mas também atividades sem fins lucrativos exercidas por todos os tipos de organizações e pessoas singulares. Por outro lado, a «utilização para o exercício da atividade comercial» também abrange informações pessoais que não são utilizadas nas relações comerciais (externas) do operador, mas sim internamente, como por exemplo no tratamento dos dados dos trabalhadores.

(34)

No que se refere aos beneficiários das proteções definidas na APPI, a lei não faz qualquer distinção baseada na nacionalidade, no domicílio ou na localização de uma pessoa singular. O mesmo se aplica às possibilidades de as pessoas singulares obterem reparação, quer junto da PPC quer dos tribunais.

(35)

Nos termos da APPI, não é feita qualquer distinção específica entre as obrigações impostas aos responsáveis pelo tratamento e as impostas aos subcontratantes. A inexistência desta distinção não afeta o nível de proteção uma vez que todos os PIHBO estão sujeitos à totalidade das disposições da lei. Um PIHBO, que confia o tratamento dos dados pessoais a um mandatário (o equivalente a um subcontratante no âmbito do RGPD) continua sujeito às obrigações decorrentes da APPI e das normas complementares relativamente aos dados que lhe sejam confiados. Além disso, nos termos do artigo 22.o da APPI, deve «exercer uma supervisão necessária e adequada» do mandatário. Por sua vez, como confirmado pela PPC, o mandatário está, por seu turno, sujeito a todas as obrigações previstas na APPI e nas normas complementares.

(36)

O artigo 76.o da APPI exclui certos tipos de tratamento de dados do âmbito de aplicação do capítulo IV da lei, que contém as disposições principais sobre proteção de dados (princípios básicos, obrigações dos operadores comerciais, direitos individuais e supervisão pela PPC). Nos termos do artigo 43.o, n.o 2, da APPI (24), o tratamento abrangido pela exclusão setorial prevista no artigo 76.o também está isento dos poderes de execução coerciva da PPC.

(37)

As categorias pertinentes no que se refere à exclusão setorial prevista no artigo 76.o da APPI são definidas aplicando um critério duplo baseado no tipo de PIHBO que trata as informações pessoais e na finalidade do tratamento. Mais concretamente, a exclusão aplica-se a: i) organismos de radiodifusão, editores de jornais, agências de comunicação ou outros órgãos de imprensa (incluindo pessoas singulares cuja atividade comercial consista na realização de atividades junto da imprensa), na medida em que tratem informações pessoais para efeitos de divulgação na imprensa; ii) pessoas que se dediquem à atividade de escrita profissional, na medida em que a mesma envolva informações pessoais; iii) universidades e outras organizações ou grupos orientados para estudos académicos ou pessoas singulares pertencentes a organizações desse tipo, na medida em que tratem informações pessoais para efeitos de estudos académicos; iv) instituições religiosas, na medida em que tratem informações pessoais para efeitos de atividade religiosa (incluindo todas as atividades associadas); e v) organismos políticos, na medida em que tratem informações pessoais para efeitos da sua atividade política (incluindo todas as atividades associadas). O tratamento de informações pessoais com uma das finalidades indicadas no artigo 76.o por outros tipos de PIHBO, assim como o tratamento de informações pessoais por um dos PIHBO indicados com outras finalidades, designadamente no contexto do emprego, continuam abrangidos pelas disposições do capítulo IV.

(38)

A fim de assegurar um nível de proteção adequado dos dados pessoais transferidos da União Europeia para operadores comerciais no Japão, somente o tratamento de informações pessoais abrangido pelo âmbito de aplicação do capítulo IV da APPI, ou seja, por um PIHBO na medida em que o tipo de tratamento não corresponda a uma das exclusões setoriais, deve ser abrangido pela presente decisão. O seu âmbito de aplicação deve, por conseguinte, ser harmonizado com o da APPI. Segundo as informações transmitidas pela PPC, se um PIHBO abrangido pela presente decisão alterar posteriormente a finalidade de utilização (na medida do permitido), passando esta a ser abrangida por uma das exclusões setoriais previstas no artigo 76.o da APPI, tal deve ser considerado uma transferência internacional (na medida em que, nesses casos, o tratamento das informações pessoais deixa de ser abrangido pelo capítulo IV da APPI, saindo do respetivo âmbito de aplicação). O mesmo sucede caso um PIHBO forneça informações pessoais a uma entidade abrangida pelo artigo 76.o da APPI, para serem utilizadas para uma das finalidades indicadas na referida disposição. No que respeita aos dados pessoais transferidos da União Europeia, tal constituiria, por conseguinte, uma transferência subsequente sujeita às garantias pertinentes (nomeadamente as especificadas no artigo 24.o da APPI e na norma complementar 4. Quando o PIHBO deva obter primeiro o consentimento do titular dos dados (25), deve transmitir-lhe todas as informações necessárias, incluindo o facto de as informações pessoais deixarem de estar protegidas ao abrigo da APPI.

(39)

Os dados pessoais devem ser tratados com uma finalidade específica e, subsequentemente, utilizados apenas na medida em que essa utilização não seja incompatível com a finalidade do tratamento. Este princípio da proteção dos dados encontra-se garantido nos termos dos artigos 15.o e 16.o da APPI.

(40)

A APPI assenta no princípio de que um operador comercial tem de indicar a finalidade da utilização «o mais explicitamente possível» (artigo 15.o, n.o 1), ficando subsequentemente obrigado a respeitar essa finalidade quando procede ao tratamento dos dados.

(41)

Nesta matéria, o artigo 15.o, n.o 2, da APPI estabelece que o PIHBO não pode alterar a finalidade inicial «para além do âmbito reconhecido como razoavelmente pertinente para a finalidade de utilização anterior à alteração», interpretada nas orientações da PPC como correspondendo ao que pode ser objetivamente previsto pelo titular dos dados com base em «convenções sociais normais» (26).

(42)

Por outro lado, nos termos do artigo 16,o, n.o 1, da APPI, os PIHBO estão proibidos de gerir informações pessoais «para além do âmbito necessário para cumprir uma finalidade de utilização», especificada no artigo 15.o, sem obter o consentimento prévio do titular dos dados, a menos que se aplique uma das derrogações previstas no artigo 16.o, n.o 3 (27).

(43)

Quando as informações pessoais são obtidas junto de outro operador comercial, o PIHBO tem, em princípio, a liberdade de definir uma nova finalidade de utilização (28). Com vista a assegurar que, na eventualidade de uma transferência da União Europeia, esse destinatário fique vinculado à mesma finalidade para a qual os dados foram transferidos, a norma complementar 3 exige que, nos casos «em que um [PIHBO] receba dados pessoais da UE, com base numa decisão de adequação» ou em que esse operador «receba dados pessoais de outro [PIHBO] previamente transferidos da UE, com base numa decisão de adequação» (transferência subsequente), o destinatário deva «especificar a finalidade de utilização dos referidos dados pessoais no âmbito da finalidade de utilização para a qual os dados foram inicialmente ou subsequentemente recebidos». Por outras palavras, a norma garante que, num contexto de transferência, a finalidade especificada, nos termos do Regulamento (UE) 2016/679, continue a determinar o tratamento e que uma alteração dessa finalidade em qualquer fase da cadeia de tratamento no Japão exija o consentimento do titular dos dados da UE. Embora a obtenção desse consentimento exija que o PIHBO contacte o titular dos dados, quando tal não for possível, a única consequência será a obrigatoriedade de manter a finalidade original.

(44)

A proteção adicional referida no considerando 43 é tanto mais pertinente porquanto é através do princípio da limitação da finalidade que o sistema japonês também assegura que os dados pessoais são tratados de forma lícita e leal.

(45)

Nos termos da APPI, ao recolher informações pessoais, um PIHBO é obrigado a especificar de forma pormenorizada a finalidade para que utiliza essas informações pessoais (29) e a informar de imediato o titular dos dados sobre a finalidade da referida utilização (ou a divulgá-la publicamente) (30). Além disso, o artigo 17.o da APPI estabelece que um PIHBO não deve adquirir informações pessoais fraudulentamente ou por outros meios ilícitos. No que se refere a determinadas categorias de dados, como as informações pessoais que requerem atenção especial, a sua aquisição exige o consentimento do titular dos dados (artigo 17.o, n.o 2, da APPI).

(46)

Subsequentemente, tal como explicado nos considerandos 41 e 42, o PIHBO está proibido de tratar as informações pessoais com outras finalidades, exceto se o titular dos dados der o seu consentimento quanto a esse tratamento ou caso se aplique uma das derrogações constantes do artigo 16.o, n.o 3, da APPI.

(47)

Por último, no tocante à comunicação subsequente de informações pessoais a terceiros (31), o artigo 23.o, n.o 1, da APPI limita essa divulgação a casos específicos, regra geral, mediante o consentimento prévio do titular dos dados (32). O artigo 23.o, n.os 2, 3 e 4, da APPI estabelece derrogações ao requisito para obter o consentimento. No entanto, tais derrogações só se aplicam aos dados não sensíveis, exigindo que o operador comercial informe previamente os titulares dos dados em causa da sua intenção de divulgar as informações pessoais a um terceiro e da possibilidade de oposição a qualquer divulgação subsequente (33).

(48)

No que se refere às transferências da União Europeia, os dados pessoais terão sido necessariamente recolhidos e tratados na UE primeiro, em conformidade com o Regulamento (UE) 2016/679. Tal implica sempre, por um lado, a recolha e o tratamento, incluindo para efeitos de transferência da União Europeia para o Japão, com base num dos fundamentos jurídicos indicados no artigo 6.o, n.o 1, do Regulamento e, por outro lado, a recolha para uma finalidade específica, explícita e legítima, assim como a proibição de tratamento posterior, incluindo por via de uma transferência, de uma forma incompatível com essa finalidade, como previsto nos artigos 5.o, n.o 1, alínea b) e 6.o, n.o 4, do Regulamento.

(49)

Na sequência da transferência, segundo o norma complementar 3, o PIHBO que recebe os dados deve «confirmar» a(s) finalidade(s) específica(s) subjacente(s) à transferência (ou seja, a finalidade determinada nos termos do Regulamento (UE) 2016/679) e tratar subsequentemente esses dados em conformidade com essa(s) finalidade(s) (34). Tal implica não só que a entidade que obtém inicialmente os referidos dados pessoais no Japão, mas também qualquer destinatário futuro dos mesmos (incluindo um mandatário) fica vinculado à(s) finalidade(s) determinada(s) no Regulamento.

(50)

Além disso, caso pretenda alterar a finalidade, tal como previamente especificado no Regulamento (UE) 2016/679, nos termos do artigo 16.o, n.o 1, da APPI, o PIHBO teria de obter, em princípio, o consentimento do titular dos dados. Sem o referido consentimento, qualquer tratamento de dados que excedesse o âmbito necessário para cumprir essa finalidade de utilização constituiria uma violação do artigo 16.o, n.o 1, que seria passível de execução pela PPC e pelos tribunais.

(51)

Assim, dado que nos termos do Regulamento (UE) 2016/679 uma transferência exige um fundamento jurídico válido e uma finalidade determinada, os quais se encontram refletidos na finalidade de utilização «confirmada» no âmbito da APPI, a combinação das disposições aplicáveis da APPI e da norma complementar 3 assegura a licitude permanente do tratamento dos dados da UE no Japão.

(52)

Os dados devem ser exatos e, quando necessário, objeto de atualização. Devem ser adequados, pertinentes e não excessivos relativamente às finalidades para que são tratados.

(53)

Estes princípios encontram-se garantidos na legislação japonesa pelo artigo 16.o, n.o 1, da APPI, que proíbe o tratamento de informações pessoais para além do «âmbito necessário para cumprir uma finalidade de utilização». Como a PPC explica, tal não só exclui a utilização não adequada e excessiva de dados (para além do necessário para cumprir a finalidade da utilização), mas também implica a proibição de tratar dados irrelevantes para o cumprimento da finalidade de utilização.

(54)

No que se refere à obrigação de manter a exatidão e a atualidade dos dados, o artigo 19.o da APPI exige que o PIHBO «se esforce por manter os dados pessoais exatos e atuais dentro do âmbito necessário para cumprir uma finalidade de utilização». Esta disposição deve ser considerada em conjugação com o artigo 16.o, n.o 1, da APPI: de acordo com as explicações recebidas da PPC, se um PIHBO não cumprir os níveis de exatidão prescritos, não se considera que o tratamento das informações pessoais cumpra a finalidade da utilização e, por conseguinte, nos termos do artigo 16.o, n.o 1, torna-se ilícito.

(55)

Em princípio, os dados não devem ser conservados mais tempo do que o necessário para as finalidades para que são tratados.

(56)

Nos termos do artigo 19.o da APPI, os PIHBO são obrigados a «esforçar-se […] por apagar os dados pessoais sem demora quando a sua utilização deixar de ser necessária». Esta disposição deve ser lida em conjugação com o artigo 16.o, n.o 1, da APPI, que proíbe o tratamento de informações pessoais para além do «âmbito necessário para cumprir uma finalidade de utilização». Uma vez cumprida a finalidade da utilização, o tratamento das informações pessoais já não pode ser considerado necessário e, portanto, não pode manter-se (a menos que o PIHBO obtenha o consentimento do titular dos dados para o efeito).

(57)

Os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo proteção contra tratamento não autorizado ou ilícito e contra perda, destruição ou danos acidentais. Para este fim, os operadores comerciais devem tomar as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra eventuais ameaças. Estas medidas devem ser avaliadas tendo em consideração o estado atual dos conhecimentos e os custos conexos.

(58)

Este princípio foi transposto para a legislação japonesa através do artigo 20.o da APPI, que estabelece que um PIHBO «deve tomar as medidas necessárias e adequadas para controlar a segurança dos dados pessoais, incluindo a prevenção de fuga, perda ou deterioração dos dados pessoais por si geridos.» As orientações da PPC explicam as medidas a tomar, incluindo os métodos para estabelecer políticas básicas, regras de gestão dos dados e várias «medidas de controlo» (relativas à segurança organizativa, bem como à segurança humana, física e tecnológica) (35). Além disso, as orientações da PPC e um comunicado específico (apêndice 8 relativo ao «Conteúdo das medidas de gestão da segurança que devem ser tomadas») publicados pela PPC fornecem mais pormenores sobre as medidas respeitantes a incidentes de segurança, que envolvam, nomeadamente, a fuga de informações pessoais, no âmbito das medidas de gestão de segurança a tomar pelos PIHBO (36).

(59)

Por outro lado, sempre que o tratamento das informações pessoas seja levado a cabo por funcionários ou subcontratantes, nos termos dos artigos 20.o e 21.o da APPI, deve ser assegurada, para efeitos de controlo da segurança, uma «supervisão necessária e adequada». Por último, nos termos do artigo 83.o da APPI, as disposições de caráter penal da lei estabelecem uma pena de prisão até um ano em caso de furto ou fuga intencional de informações pessoais.

(60)

Os titulares dos dados devem ser informados sobre as principais características do tratamento dos respetivos dados pessoais.

(61)

O artigo 18.o, n.o 1, da APPI exige que o PIHBO disponibilize ao titular dos dados informação sobre a finalidade de utilização das informações pessoais obtidas, exceto nos «casos em que uma finalidade de utilização tenha sido previamente divulgada ao público». A mesma obrigação existe no caso de uma alteração autorizada da finalidade (artigo 18.o, n.o 3). Isto permite igualmente garantir que o titular dos dados é informado de que os seus dados foram recolhidos. Embora, de modo geral, a APPI não exija que o PIHBO informe o titular dos dados sobre os destinatários previstos dos dados pessoais na fase de recolha dos mesmos, em caso de divulgação subsequente, essa informação é uma condição necessária para toda e qualquer transmissão de informações a um terceiro (destinatário), com base no artigo 23.o, n.o 2, e, por conseguinte, sempre que seja efetuada sem o consentimento prévio do titular dos dados.

(62)

No que se refere aos «dados pessoais conservados», o artigo 27.o da APPI estabelece que o PIHBO deve informar o titular dos dados sobre a sua identidade (dados de contacto), a finalidade da utilização e os procedimentos de resposta a um pedido respeitante aos direitos individuais do titular dos dados, nos termos dos artigos 28.o, 29.o e 30.o da APPI.

(63)

À semelhança das normas complementares, os dados pessoais transferidos da União Europeia serão considerados como «dados pessoais conservados», independentemente do respetivo prazo de conservação (a menos que sejam abrangidos por isenções), e estarão sempre sujeitos às exigências de transparência instituídas em ambas as disposições citadas.

(64)

Tanto as exigências do artigo 18.o como o dever de informação sobre a finalidade de utilização, nos termos do artigo 27.o da APPI, estão abrangidas pelo mesmo conjunto de exceções, baseadas principalmente em considerações de interesse público e na proteção dos direitos e interesses do titular dos dados, de terceiros e do responsável pelo tratamento (37). De acordo com a interpretação desenvolvida nas orientações da PPC, as referidas exceções são aplicáveis em situações muito específicas, nomeadamente no caso de a informação sobre a finalidade da utilização for suscetível de comprometer medidas legítimas tomadas pelo operador comercial para proteger determinados interesses (por exemplo o combate à fraude, à espionagem industrial e à sabotagem).

(65)

Devem existir garantias específicas aplicáveis ao tratamento de «categorias especiais» de dados.

(66)

O conceito de «informações pessoais que requerem atenção especial» encontra-se definido no artigo 2.o, n.o 3, da APPI. Esta disposição refere-se a «informações pessoais que incluem a raça, credo, estatuto social, historial clínico e registo criminal do titular, bem como o facto de ter sofrido danos em consequência de um crime, ou outras descrições, etc. determinadas por decreto ministerial como aquelas cujo tratamento requer atenção especial por forma a não causar discriminação injusta, prejuízo ou outras desvantagens ao titular.» Essas categorias correspondem, em grande parte, à lista de dados sensíveis nos termos dos artigos 9.o e 10.o do Regulamento (UE) 2016/679. Concretamente, o «historial clínico» corresponde aos dados relativos à saúde, enquanto o «registo criminal e o facto de ter sofrido danos em consequência de um crime» são substancialmente idênticos às categorias a que se refere o artigo 10.o do Regulamento (UE) 2016/679. As categorias previstas no artigo 2.o, n.o 3, da APPI são objeto de uma interpretação mais aprofundada no decreto ministerial e nas orientações da PPC. Segundo o ponto 8 da secção 2.3 das orientações da PPC, as subcategorias de «historial clínico», especificadas no artigo 2.o, subalíneas ii) e iii), do decreto ministerial, são interpretadas como abrangendo dados genéticos e biométricos. De igual modo, embora não inclua expressamente os termos «origem étnica» e «opiniões políticas», a lista inclui referências à «raça» e ao «credo». Tal como explicam os pontos 1 e 2 da secção 2.3 das orientações da PPC, a referência à «raça» abrange «vínculos étnicos ou vínculos a uma região do mundo específica», enquanto «credo» é entendido como incluindo opiniões religiosas e políticas.

(67)

Como resulta claro da redação da disposição, não se trata de uma lista definitiva, uma vez que podem ser acrescentadas mais categorias de dados na medida em que o seu tratamento suscite um risco de «discriminação injusta, prejuízo ou outras desvantagens ao titular».

(68)

Embora o conceito de dados «sensíveis» seja, por inerência, um conceito social no sentido em que se fundamenta nas tradições culturais e jurídicas, nas considerações morais, nas opções políticas, etc. de uma determinada sociedade, perante a importância de assegurar garantias adequadas para os dados sensíveis, quando transferidos para operadores comerciais no Japão, a Comissão conseguiu que as proteções especiais conferidas a «informações pessoais que requerem atenção especial», no âmbito da legislação japonesa, fossem alargadas a todas as categorias reconhecidas como «dados sensíveis» no Regulamento (UE) 2016/679. Para este efeito, a norma complementar 1 dispõe que os dados transferidos da União Europeia relativos à vida sexual, à orientação sexual ou à filiação sindical de uma pessoa singular devem ser tratados pelos PIHBO «da mesma forma que as informações pessoais que requerem atenção especial, na aceção do artigo 2.o, n.o 3, da [APPI]».

(69)

No que se refere às garantias materiais suplementares aplicáveis às informações pessoais que requerem atenção especial, nos termos do artigo 17.o, n.o 2, da APPI, os PIHBO não estão autorizados a obter esse tipo de dados sem o consentimento prévio da pessoa singular em causa, apenas sob reserva de derrogações limitadas (38). Por outro lado, esta categoria de informações pessoais encontra-se excluída da possibilidade de divulgação a terceiros, com base no procedimento definido no artigo 23.o, n.o 2, da APPI (que permite a transmissão de dados a terceiros sem o consentimento prévio da pessoa singular em causa).

(70)

De acordo com o princípio da responsabilização, as entidades responsáveis pelo tratamento de dados são obrigadas a aplicar medidas técnicas e organizativas adequadas para cumprir as suas obrigações de proteção dos dados de forma eficaz e poder demonstrar esse cumprimento, em particular junto da autoridade de controlo competente.

(71)

Como referido na nota de rodapé 34 (considerando 49), nos termos do artigo 26.o, n.o 1, da APPI, os PIHBO são obrigados a verificar a identidade de um terceiro que lhes transmita dados pessoais, bem como as «circunstâncias» em que esses dados foram obtidos por esse terceiro (no caso dos dados pessoais abrangidos pela presente decisão, de acordo com a APPI e com a norma complementar 3, tais circunstâncias devem incluir o facto de os dados serem originários da União Europeia e a finalidade da transmissão dos dados original). Esta medida tem por objetivo, entre outros, assegurar a licitude do tratamento dos dados ao longo da cadeia de tratamento dos dados pessoais pelos PIHBO. Além disso, nos termos do artigo 26.o, n.o 3, da APPI, os PIHBO são obrigados a manter um registo da data de receção e das informações (obrigatórias) recebidas do terceiro, nos termos do n.o 1, assim como do nome da pessoa singular em causa (titular dos dados), das categorias de dados tratados e, na medida em que seja pertinente, do facto de o titular dos dados ter dado o seu consentimento à partilha dos seus dados pessoais. Tal como especificado no artigo 18.o das normas da PPC, os referidos registos devem ser conservados por um período mínimo de um a três anos, consoante as circunstâncias. No exercício das suas competências, a PPC pode exigir a apresentação de tais registos (39).

(72)

Os PIHBO devem tratar, de forma célere e adequada, eventuais reclamações apresentadas por pessoas singulares afetadas quanto ao tratamento das suas informações pessoais. A fim de facilitar o tratamento das reclamações, devem criar o «sistema necessário para cumprir [esta] finalidade», o que implica que devem aplicar procedimentos apropriados na respetiva organização (designadamente, atribuir responsabilidades ou indicar um ponto de contacto).

(73)

Por último, a APPI cria um enquadramento para a participação das organizações industriais setoriais na garantia de um nível de conformidade elevado (ver capítulo IV, secção 4). A função das referidas associações acreditadas de proteção de informações pessoais (40) é promover a proteção das informações pessoais prestando apoio às empresas com os seus conhecimentos especializados, mas também contribuir para a aplicação de garantias, nomeadamente, através do tratamento de reclamações individuais e da ajuda na resolução de conflitos conexos. Para o efeito, podem exigir, se for caso disso, que os PIHBO participantes adotem as medidas necessárias (41). Além disso, no caso de violação de dados ou de outros incidentes de segurança, os PIHBO devem, em princípio, informar a PPC, assim como o titular dos dados (ou o público) e tomar as medidas necessárias, incluindo medidas para minimizar os danos e evitar a repetição de incidentes semelhantes (42). Embora estes esquemas sejam voluntários, em 10 de agosto de 2017, a PPC havia elaborado uma lista de 44 organizações, em que só a maior destas, o Centro de Desenvolvimento e Tratamento do Japão (JIPDEC), contava com 15 436 operadores comerciais participantes (43). Os esquemas acreditados abrangem associações setoriais, como por exemplo a Associação de Corretores de Valores Mobiliários do Japão, a Associação de Escolas de Condução do Japão ou a Associação de Agentes Matrimoniais (44).

(74)

As organizações acreditadas de proteção de informações pessoais apresentam relatórios anuais sobre as respetivas operações. De acordo com a «Descrição geral da situação em matéria de aplicação [da] APPI no exercício financeiro de 2015», publicada pela PPC, as organizações acreditadas de proteção de informações pessoais receberam um total de 442 reclamações, dirigiram 123 pedidos de explicação a operadores comerciais sob a sua jurisdição, solicitaram documentos aos referidos operadores em 41 casos, emitiram 181 instruções e formularam duas recomendações (45).

(75)

O nível de proteção assegurado aos dados pessoais transferidos da União Europeia para operadores comerciais no Japão não pode ser prejudicado pela transferência subsequente desses dados para destinatários num país terceiro fora do Japão. As referidas «transferências subsequentes», que constituem, da perspetiva do operador comercial japonês, transferências internacionais do Japão, apenas devem ser permitidas nos casos em que o destinatário fora do Japão esteja, pelo seu lado, sujeito a normas que assegurem um nível de proteção semelhante ao garantido no âmbito da ordem jurídica japonesa.

(76)

Encontra-se consagrado um primeiro nível de proteção no artigo 24.o da APPI, que proíbe, em geral, a transferência de dados pessoais para terceiros fora do território do Japão sem o consentimento prévio da pessoa singular em causa. A norma complementar 4 assegura que, no caso de transferências de dados da União Europeia, tal consentimento seja particularmente bem fundamentado, porquanto exige que «sejam fornecidas informações sobre as circunstâncias inerentes à transferência, necessárias para que o titular tome uma decisão relativamente ao seu consentimento» à pessoa singular em causa. Nessa base, o titular dos dados deve ser informado de que os dados serão transferidos para o estrangeiro (fora do âmbito de aplicação da APPI) e do país de destino concreto, permitindo-lhe assim avaliar o risco para a privacidade resultante dessa transferência. Além disso, como resulta do artigo 23.o da APPI (ver considerando 47), as informações fornecidas ao titular devem abranger os elementos obrigatórios por força do n.o 2 desse artigo, nomeadamente as categorias de dados pessoais fornecidos a terceiros e o método de divulgação.

(77)

O artigo 24.o da APPI, aplicado em conjugação com o artigo 11.o, n.o 2, das normas da PPC, estabelece várias derrogações a esta regra baseada no consentimento. Por outro lado, nos termos do artigo 24.o, também se aplicam às transferências de dados internacionais as mesmas derrogações aplicáveis de acordo com o artigo 23.o, n.o 1, da APPI (46).

(78)

A fim de assegurar a continuidade da proteção, no caso de dados pessoais transferidos da União Europeia para o Japão, no âmbito da presente decisão, a norma complementar 4 reforça o nível de proteção das transferências subsequentes desses dados pelo PIHBO para um destinatário num país terceiro. Para tal, limita e enquadra os fundamentos para as transferências internacionais a que o PIHBO pode recorrer como alternativa ao consentimento. Mais concretamente, e sob reserva das derrogações estabelecidas no artigo 23.o, n.o 1, da APPI, os dados pessoais transferidos no âmbito da presente decisão poderão ser objeto de transferências (subsequentes) sem consentimento em apenas dois casos: i) quando os dados são enviados para um país terceiro que, nos termos do artigo 24.o da APPI, a PPC reconheceu como assegurando um nível de proteção equivalente ao do Japão (47); ou ii) quando o PIHBO e o destinatário no país terceiro adotaram conjuntamente medidas que conferem um nível de proteção equivalente ao da APPI, considerado em conjugação com as normas complementares, através de um contrato, de outras formas de acordos vinculativos ou de convenções vinculativas no âmbito de um grupo de empresas. A segunda categoria corresponde aos instrumentos utilizados nos termos do Regulamento (UE) 2016/679 para assegurar garantias adequadas (em particular, cláusulas contratuais e normas empresariais vinculativas). Além disso, como confirmado pela PPC, mesmo nesses casos, a transferência permanece sujeita às regras gerais aplicáveis à transmissão de dados pessoais para terceiros no âmbito da APPI (nomeadamente, a exigência de obter o consentimento nos termos do artigo 23.o, n.o 1, ou, alternativamente, a obrigação de informar junto com a possibilidade de retirar o consentimento, nos termos do artigo 23.o, n.o 2, da APPI). Caso não seja possível fazer chegar o pedido de consentimento ao titular dos dados ou transmitir-lhe previamente a informação exigida pelo artigo 23.o, n.o 2, da APPI, a transferência não pode ter lugar.

(79)

Por conseguinte, excetuando os casos em que a PPC tenha determinado que o país terceiro em causa assegura um nível de proteção equivalente ao garantido pela APPI (48), as exigências definidas na norma complementar 4 excluem a utilização de instrumentos de transferência que não originem uma relação vinculativa entre o exportador de dados japonês e o importador de dados do país terceiro e que não garantam o nível de proteção necessário. Será o caso, por exemplo, do sistema de regras de privacidade transfronteiriças (CBPR) da APEC, do qual o Japão é uma economia participante (49), uma vez que, neste sistema, as proteções não resultam de uma convenção vinculativa entre o exportador e o importador, no contexto da sua relação bilateral, e são claramente de um nível inferior ao garantido pela conjugação da APPI e das normas complementares (50).

(80)

Por último, no caso das transferências (subsequentes), decorre uma outra garantia dos artigos 20.o e 22.o da APPI. Nos termos destas disposições, sempre que um operador de um país terceiro (importador de dados) atua em nome do PIHBO (exportador de dados), ou seja, na qualidade de subcontratante (ulterior), o segundo é obrigado a assegurar o controlo do primeiro em matéria de segurança do tratamento dos dados.

(81)

À semelhança da legislação sobre proteção de dados da UE, a APPI confere às pessoas singulares uma série de direitos oponíveis. Estes incluem o direito de acesso («divulgação»), de retificação e de apagamento, assim como o direito de oposição («cessação da utilização»).

(82)

Em primeiro lugar, nos termos do artigo 28.o, n.os 1 e 2, da APPI, o titular dos dados tem o direito de solicitar a um PIHBO que «divulgu[e] dados pessoais conservados que o possam identificar» e, após receção de tal pedido, o PIHBO «deve […] divulgar os dados pessoais conservados» ao titular dos dados. Os artigos 29.o (direito a correção) e 30.o (direito à cessação da utilização) têm a mesma estrutura do artigo 28.o.

(83)

O artigo 9.o do decreto ministerial especifica que a divulgação de dados pessoais, a que se refere o artigo 28.o, n.o 2, da APPI, deve ser efetuada por escrito, salvo acordo em contrário entre o PIHBO e o titular dos dados.

(84)

Estes direitos são objeto de três tipos de restrições: as relativas aos direitos e interesses da pessoa singular ou de terceiros (51), ingerência grave nas operações comerciais do PIHBO (52) e casos em que a divulgação viole outras leis e regulamentos (53). As situações em que estas restrições seriam aplicáveis são semelhantes a algumas das derrogações aplicáveis nos termos do artigo 23.o, n.o 1, do Regulamento (UE) 2016/679, que permite limitações aos direitos das pessoas singulares por motivos relacionados com a «defesa do titular dos dados ou dos direitos e liberdades de outrem» ou «outros objetivos importantes do interesse público geral». Embora a categoria de casos em que a divulgação violaria «outras leis ou regulamentos» possa parecer lata, as leis e os regulamentos, que estabelecem limitações nesta matéria, devem respeitar o direito constitucional à privacidade e só podem impor restrições na medida em que o exercício deste direito «atente contra o bem-estar público» (54). Tal requer um equilíbrio entre os interesses em jogo.

(85)

Nos termos do artigo 28.o, n.o 3, da APPI, caso os dados solicitados não existam ou o PIHBO em causa decida não conceder acesso aos dados conservados, este é obrigado a informar sem demora a pessoa singular.

(86)

Em segundo lugar, nos termos do artigo 29.o, n.os 1 e 2, da APPI, um titular de dados pode solicitar a correção, o aditamento ou o apagamento dos seus dados pessoais conservados, caso estes sejam inexatos. Após receção de um pedido nesse sentido, o PIHBO «deve […] conduzir uma investigação necessária» e, com base nos resultados dessa investigação, «efetuar a correção, etc. do conteúdo dos dados conservados».

(87)

Em terceiro lugar, nos termos do artigo 30.o, n.os 1 e 2, da APPI, um titular de dados pode solicitar a um PIHBO que deixe de utilizar informações pessoais ou que apague essas informações, sempre que sejam tratadas em violação do artigo 16.o (relativo à limitação da finalidade) ou obtidas ilicitamente em violação do artigo 17.o da APPI (relativo à obtenção fraudulenta, por outros meios ilícitos ou, no caso de dados sensíveis, sem consentimento). De igual modo, nos termos do artigo 30.o, n.os 3 e 4, da APPI, a pessoa singular pode solicitar ao PIHBO que deixe de transmitir as informações a terceiros, sempre que essa transmissão viole o disposto no artigo 23.o, n.o 1, ou no artigo 24.o da APPI (respeitante à transmissão a terceiros, incluindo transferências internacionais).

(88)

Se o pedido tiver fundamento, o PIHBO deve deixar de utilizar os dados ou de transmiti-los a um terceiro sem demora, na medida do necessário para pôr termo à violação ou, se um determinado caso for abrangido por uma derrogação (designadamente, se a cessação da utilização for suscetível de causar custos especialmente elevados) (55), deve adotar medidas alternativas necessárias para proteger os direitos e os interesses da pessoa em causa.

(89)

Ao contrário do direito da UE, a APPI e as normas legais acessórias pertinentes não contêm disposições jurídicas que abordem especificamente a possibilidade de oposição para efeitos de comercialização direta. Esse tratamento deve, contudo, por força da presente decisão, ter lugar no quadro de uma transferência de dados pessoais previamente recolhidos na União Europeia. Nos termos do artigo 21.o, n.o 2, do Regulamento (UE) 2016/679, o titular dos dados deve ter sempre o direito de se opor a uma transferência de dados destinados a tratamento para efeitos de comercialização direta. Além disso, como referido no considerando 43, no âmbito da norma complementar 3 um PIHBO é obrigado a tratar os dados recebidos nos termos da decisão para a mesma finalidade para a qual foram transferidos da União Europeia, a menos que o titular dos dados dê o seu consentimento quanto à alteração da finalidade da utilização. Por conseguinte, se a transferência tiver sido efetuada para uma finalidade diferente da comercialização direta, um PIHBO no Japão está proibido de tratar os dados para efeitos de comercialização direta sem o consentimento do titular dos dados da UE.

(90)

Em todos os casos descritos nos artigos 28.o e 29.o da APPI, o PIHBO é obrigado a notificar sem demora a pessoa singular do resultado do pedido, tendo, além disso, de apresentar uma justificação para a eventual recusa (parcial) com base nas derrogações legais previstas nos artigos 27.o a 30.o (artigo 31.o da APPI).

(91)

No que se refere às condições para apresentar um pedido, o artigo 32.o da APPI (em conjugação com o decreto ministerial) permite que os PIHBO estabeleçam procedimentos razoáveis, incluindo em termos das informações necessárias para identificar os dados pessoais conservados. Nos termos do n.o 4 desse artigo, não podem, contudo, impor «encargos excessivos ao titular». Em certos casos, os PIHBO poderão impor taxas, desde que o seu valor se situe «dentro do âmbito considerado razoável tendo em vista os custos reais» (artigo 33.o da APPI).

(92)

Por último, a pessoa singular pode opor-se à transmissão das suas informações pessoais a terceiros, nos termos do artigo 23.o, n.o 2, da APPI, ou recusar o seu consentimento, nos termos do artigo 23.o, n.o 1 (evitando, assim, a divulgação no caso de não existir mais nenhum fundamento jurídico). De igual modo, a pessoa singular pode suspender o tratamento dos dados para uma finalidade diferente recusando o seu consentimento nos termos do artigo 16.o, n.o 1, da APPI.

(93)

Ao contrário do direito da UE, a APPI e as normas legais acessórias pertinentes não contêm disposições gerais que contemplem a questão das decisões respeitantes ao titular dos dados e se baseiem exclusivamente no tratamento automatizado dos dados pessoais. No entanto, a questão é abordada em algumas normas setoriais aplicáveis no Japão, que são particularmente relevantes para este tipo de tratamento. Incluem-se aqui setores nos quais é mais provável que as empresas recorram ao tratamento automatizado de dados pessoais para tomar decisões que afetam as pessoas singulares (nomeadamente o setor financeiro). Por exemplo, as «Orientações abrangentes relativas à supervisão dos principais bancos», revistas em junho de 2017, exigem que sejam dadas à pessoa em causa explicações concretas sobre as razões do indeferimento de um pedido para celebrar um acordo de empréstimo. Deste modo, estas normas oferecem proteções, nos casos, em número provavelmente muito limitado, em que as decisões automatizadas seriam tomadas pelo próprio operador comercial japonês «importador» (e não pelo responsável pelo tratamento dos dados da UE «exportador»).

(94)

Em qualquer caso, no que se refere aos dados pessoais recolhidos na União Europeia, qualquer decisão baseada num tratamento automatizado será, normalmente, tomada pelo responsável pelo tratamento dos dados na União (que tem uma relação direta com o titular dos dados em causa), estando, por conseguinte, sujeita ao Regulamento (UE) 2016/679 (56). Tal inclui cenários de transferência em que o tratamento seja realizado por um operador comercial estrangeiro (por exemplo, japonês), que atua como agente (subcontratante) do responsável pelo tratamento da UE (ou como subcontratante ulterior do subcontratante da UE, o qual por sua vez recebeu os dados de um responsável pelo tratamento da UE que os recolheu) que, nesta base, toma então a decisão. Deste modo, não é provável que a inexistência na APPI de regras específicas sobre a tomada de decisões automatizadas afete o nível de proteção dos dados pessoais transferidos ao abrigo da presente decisão.

(95)

Por forma a assegurar que também seja garantido na prática um nível adequado de proteção dos dados, deve ser criada uma autoridade de controlo independente incumbida de supervisionar e aplicar coercivamente as normas em matéria de proteção de dados. Essa autoridade deve atuar com total independência e imparcialidade no cumprimento das suas obrigações e no exercício das respetivas competências.

(96)

No Japão, a autoridade incumbida de supervisionar e aplicar a APPI é a PPC. A PPC é constituída por um presidente e oito comissários, designados pelo primeiro-ministro mediante a aprovação de ambas as câmaras da Dieta. O mandato do presidente e de cada comissário é de cinco anos, com possibilidade de recondução (artigo 64.o da APPI). Os comissários só podem ser destituídos com justa causa, num conjunto limitado de circunstâncias excecionais (57), não podendo envolver-se ativamente em atividades políticas. Além disso, nos termos da APPI, os comissários a tempo inteiro devem abster-se de exercer outras atividades remuneradas ou de caráter comercial. Todos os comissários estão igualmente sujeitos a normas internas que os impedem de participar nas deliberações em caso de conflito de interesses. A PPC é assistida por um secretariado, chefiado por um secretário-geral, que foi criado para fins de execução das tarefas que lhe incumbem (artigo 70.o da APPI). Tanto os comissários como os demais funcionários do secretariado estão vinculados por regras estritas de confidencialidade (artigos 72.o e 82.o da APPI).

(97)

Os poderes da PPC são exercidos com total independência (58) e são definidos principalmente nos artigos 40.o, 41.o e 42.o da APPI. Nos termos do artigo 40.o, a PPC pode solicitar aos PIHBO que comuniquem informações ou apresentem documentos sobre as operações de tratamento, podendo igualmente proceder a inspeções tanto no local como dos livros e outros documentos. Na medida do necessário à aplicação da APPI, a PPC pode ainda formular orientações ou conselhos aos PIHBO relativamente à gestão das informações pessoais. A PPC já exerceu os poderes que lhe são conferidos pelo artigo 41.o da APPI, quando formulou orientações dirigidas ao Facebook, na sequência das revelações efetuadas no âmbito do caso Facebook/Cambridge Analytica.

(98)

Mais importante ainda, a PPC tem competência, quer dando seguimento a uma queixa ou atuando por sua própria iniciativa, para emitir recomendações e ordens destinadas a fazer aplicar a APPI e outras normas vinculativas (incluindo as normas complementares) em casos concretos. Tais competências são definidas no artigo 42.o da APPI. Enquanto os n.os 1 e 2 deste artigo preveem um mecanismo em duas etapas, pelo qual a PPC pode emitir uma ordem (apenas) na sequência de uma recomendação prévia, o n.o 3 permite que, em casos urgentes, seja diretamente adotada uma ordem.

(99)

Embora nem todas as disposições do capítulo IV, secção 1, da APPI se encontrem enumeradas no artigo 42.o, n.o 1, o qual também determina o âmbito de aplicação do artigo 42.o, n.o 2, a explicação para tal poderá residir no facto de algumas destas disposições não dizerem respeito a obrigações do PIHBO (59) e de todas as proteções essenciais já serem asseguradas por outras disposições constantes dessa lista. Por exemplo, embora não sendo mencionado o artigo 15.o (que exige que o PIHBO defina a finalidade da utilização e trate as informações pessoais relevantes exclusivamente dentro do seu âmbito de aplicação), a não observação desta exigência pode constituir fundamento para uma recomendação, baseada numa violação do artigo 16.o, n.o 1 (que proíbe o PIHBO de tratar informações pessoais que excedam o âmbito necessário ao cumprimento da finalidade da utilização, a menos que obtenha o consentimento do titular dos dados) (60). Uma outra disposição, omissa no artigo 42.o, n.o 1, é o artigo 19.o da APPI relativo à exatidão e à conservação dos dados. Em caso de incumprimento desta disposição, o seu cumprimento pode ser passível de execução coerciva, quer por violação do artigo 16.o, n.o 1, ou com base numa violação do artigo 29.o, n.o 2, se a pessoa em causa solicitar a correção ou o apagamento de dados erróneos ou excessivos e o PIHBO se recusar a satisfazer o pedido. No que se refere aos direitos do titular dos dados, nos termos dos artigos 28.o, n.o 1, 29.o, n.o 1, e 30.o, n.o 1, a supervisão da PPC é garantida através da atribuição de poderes de execução coerciva no tocante às obrigações correspondentes do PIHBO definidas nos referidos artigos.

(100)

Nos termos do artigo 42.o, n.o 1, da APPI, se entender que se verifica uma «necessidade de proteger os direitos e interesses de uma pessoa singular nos casos em que um [PIHBO] tenha violado» disposições específicas da APPI, a PPC pode emitir uma recomendação de «suspensão do ato de violação ou de tomada de outras medidas necessárias para retificar a violação». Tal recomendação não é vinculativa, mas abre caminho a uma ordem vinculativa em conformidade com o artigo 42.o, n.o 2, da APPI. Com base nesta disposição, se a recomendação não for acatada «sem que existam motivos legítimos» e a PPC «entender que está iminente uma violação grave dos direitos e interesses de uma pessoa singular», pode ordenar ao PIHBO que tome medidas consonantes com a recomendação.

(101)

As normas complementares clarificam melhor e reforçam os poderes de execução coerciva da PPC. Mais concretamente, nos casos que envolvam dados importados da União Europeia, a PPC considera sempre a ausência da tomada de medidas por um PIHBO, em conformidade com uma recomendação emitida pela APPI, nos termos do artigo 42.o, n.o 1, sem motivos legítimos, como uma violação grave iminente dos direitos e interesses de uma pessoa singular, na aceção do artigo 42.o, n.o 2, e consequentemente como uma infração que justifica a emissão de uma ordem vinculativa. Por outro lado, a PPC apenas aceita como «motivo legítimo» para não cumprir uma recomendação uma «ocorrência de natureza extraordinária [que impeça o cumprimento] fora do controlo [do PIHBO], a qual não pode ser razoavelmente prevista (nomeadamente catástrofes naturais)» ou casos em que a necessidade de tomar medidas na sequência de uma recomendação «tenha deixado de existir porque [o PIHBO] tomou medidas alternativas para pôr termos à violação».

(102)

Nos termos do artigo 84.o da APPI, o incumprimento de uma ordem da PPC é considerado uma infração penal e um PIHBO que seja condenado pode ser punido com uma pena de prisão com possibilidade de prestação de trabalho até seis meses ou com multa até 300 000 ienes. Além disso, nos termos do artigo 85.o, subalínea i), da APPI, a falta de cooperação com a PPC ou a obstrução à sua investigação é punível com multa até 300 000 ienes. Estas sanções penais acrescem às que possam ser impostas pela violação material da APPI (ver considerando 108).

(103)

A fim de assegurar uma proteção adequada e, nomeadamente, o exercício dos direitos individuais, o titular dos dados deve dispor de vias de recurso administrativas e judiciais eficazes, incluindo a possibilidade de obter uma indemnização por danos.

(104)

Antes ou mesmo em vez de recorrer a vias de recurso administrativas e judiciais, a pessoa singular pode decidir apresentar uma reclamação sobre o tratamento dos seus dados pessoais junto do próprio responsável pelo tratamento. Com base no artigo 35.o da APPI, os PIHBO devem esforçar-se por tratar tais reclamações «de modo adequado e rápido» e estabelecer sistemas internos de tratamento de reclamações para atingir esse objetivo. Além disso, nos termos do artigo 61.o, alínea ii), da APPI, a PPC é responsável pela «mediação necessária quanto às reclamações apresentadas e pela cooperação prestada ao operador comercial que se ocupa da reclamação», abrangendo, em ambos os casos, as reclamações apresentadas por estrangeiros. Neste contexto, o legislador japonês confiou igualmente à administração central a tarefa de tomar as «medidas necessárias» para viabilizar e facilitar a resolução de reclamações pelos PIHBO (artigo 9.o), competindo aos órgãos de poder local assegurar a mediação nesses casos (artigo 13.o). A este respeito, as pessoas singulares podem apresentar uma reclamação junto de um dos mais de 1 700 centros do consumidor criados pelos órgãos de poder local, com base na Lei relativa à segurança do consumidor (61), além de poderem apresentar uma reclamação junto do Centro Nacional para os Assuntos do Consumidor do Japão. Tais reclamações podem igualmente ser apresentadas em relação a uma violação da APPI. Nos termos do artigo 19.o da Lei de Bases do Consumidor (62), os órgãos de poder local devem esforçar-se por participar no processo de mediação, no caso de reclamações, colocando à disposição das partes os necessários conhecimentos especializados. Estes mecanismos de resolução de litígios afiguram-se bastante eficazes, com uma taxa de resolução de 91,2 % em mais de 75 000 casos de reclamação em 2015.

(105)

As violações das disposições da APPI por parte de um PIHBO podem dar origem a ações cíveis, bem como a processos penais e sanções. Em primeiro lugar, se uma pessoa singular considerar que os seus direitos foram violados, ao abrigo dos artigos 28.o, 29.o e 30.o da APPI, pode requerer uma medida inibitória, solicitando ao tribunal que condene um PIHBO a satisfazer o seu pedido, nos termos de uma destas disposições, ou seja, a divulgar os dados pessoais conservados (artigo 28.o), a retificar os dados pessoais conservados que estejam incorretos (artigo 29.o) ou a cessar o tratamento ilícito ou a transmissão não autorizada a terceiros (artigo 30.o). Esta ação pode ser instaurada sem necessidade de invocar o artigo 709.o do Código Civil (63) ou de recorrer ao direito penal (64). Tal significa, especificamente, que a pessoa singular não é obrigada a provar a existência de danos.

(106)

Em segundo lugar, caso uma alegada violação não diga respeito a direitos individuais, nos termos dos artigos 28.o, 29.o e 30.o, mas sim a princípios gerais em matéria de proteção de dados ou a obrigações do PIHBO, a pessoa singular em causa pode instaurar uma ação cível contra o operador comercial, com base nas disposições relativas à responsabilidade civil do Código Civil do Japão, nomeadamente o artigo 709.o. Conquanto uma ação judicial ao abrigo do artigo 709.o exija, além da prova da culpa (dolo ou negligência), prova da existência de danos, nos termos do artigo 710.o do Código Civil, tais danos podem ser materiais ou morais. O montante da indemnização não está sujeito a qualquer limitação.

(107)

No que respeita às vias de recurso disponíveis, o artigo 709.o do Código Civil japonês faz referência a uma indemnização pecuniária. No entanto, a jurisprudência japonesa tem interpretado este artigo como abrindo igualmente a possibilidade de obter uma medida inibitória (65). Deste modo, se um titular de dados intentar uma ação ao abrigo do artigo 709.o do Código Civil alegando que os seus direitos ou interesses foram lesados pela violação de uma disposição da APPI por parte do demandado, a ação intentada pode incluir, para além da indemnização por danos, o requerimento de uma medida inibitória destinada a pôr fim ao tratamento ilícito.

(108)

Em terceiro lugar, além das vias de recurso previstas no âmbito do direito civil (penal), o titular dos dados pode apresentar uma reclamação junto de um procurador ou de um agente da polícia judiciária quanto às violações da APPI que possam originar sanções de caráter penal. O capítulo VII da APPI contém várias disposições de ordem penal. A mais importante (artigo 84.o) refere-se ao incumprimento pelo PIHBO das ordens da PPC, nos termos do artigo 42.o, n.os 2 e 3. Se um operador comercial não cumprir uma ordem emitida pela PPC, o presidente desta comissão (assim como qualquer outro responsável governamental) (66) pode remeter o caso para um procurador ou agente da polícia judiciária e, desse modo, desencadear a abertura de um processo penal. A violação de uma ordem da PPC é punível com pena de prisão com possibilidade de prestação de trabalho até seis meses ou uma multa até 300 000 ienes. Outras disposições da APPI, que impõem sanções em caso de violações da APPI com impacto nos direitos e interesses de titulares de dados, incluem o artigo 83.o (relativo à «transmissão ou utilização dissimuladas» de uma base de dados de informações pessoais «com a finalidade de obter […] lucros ilícitos») e o artigo 88.o, subalínea i) (relativo à não prestação por parte de um terceiro de informações corretas ao PIHBO quando este recebe dados pessoais, em conformidade com o artigo 26.o, n.o 1, da APPI, em particular, sobre os pormenores da obtenção prévia dos referidos dados por esse terceiro). As referidas violações da APPI são puníveis, respetivamente, com pena de prisão com possibilidade de prestação de trabalho até um ano ou com multa até 500 000 ienes (no caso do artigo 83.o) ou com uma coima até 100 000 ienes [no caso do artigo 88.o, subalínea i)]. Embora a ameaça de uma sanção penal já tenha um forte efeito dissuasor sobre os administradores das empresas que dirigem as operações de tratamento dos PIHBO, assim como sobre as pessoas singulares que tratam os dados, o artigo 87.o da APPI clarifica que se um representante, trabalhador ou outro funcionário de uma pessoa coletiva violar o disposto nos artigos 83.o a 85.o da APPI, «o autor da infração deve ser punido, aplicando-se à pessoa coletiva em causa a multa prevista nos artigos correspondentes». Neste caso, podem ser impostas tanto ao trabalhador como à empresa multas até ao montante máximo previsto na lei.

(109)

Por último, as pessoas singulares podem igualmente obter reparação contra as ações ou omissões da PPC. A este respeito, a legislação japonesa providencia várias vias de recurso administrativo e judicial.

(110)

Caso uma pessoa singular não esteja satisfeita com uma linha de ação tomada pela PPC, pode interpor recurso administrativo no âmbito da Lei relativa à apreciação de reclamações administrativas (67). Por outro lado, se a pessoa singular entender que a PPC deveria ter atuado, mas não o fez, pode, nos termos do artigo 36.o, n.o 3, da referida lei, solicitar que a PPC emita um ato ou uma orientação administrativa, se considerar que «não foi emitido ou imposto qualquer ato ou orientação administrativa para retificar a violação».

(111)

No que se refere ao recursos judiciais, ao abrigo da Lei do contencioso administrativo, uma pessoa singular, que não esteja satisfeita com um ato administrativo emitido pela PPC, pode intentar uma ação de condenação à prática de ato devido (68), em que requer ao tribunal que condene a PPC a tomar medidas adicionais (69). Em alguns casos, o tribunal pode também proferir uma decisão provisória de condenação à prática de ato devido, por forma a evitar danos irreversíveis (70). Além disso, nos termos da mesma lei, uma pessoa singular pode requerer a revogação de uma decisão da PPC (71).

(112)

Por último, uma pessoa singular pode igualmente intentar uma ação de indemnização estatal contra a PPC, nos termos do artigo 1.o, n.o 1, da Lei relativa a recurso contra o Estado, no caso de ter sofrido danos causados pelo facto de uma ordem emitida pela PPC a um operador comercial ter sido ilícita ou de a PPC não ter exercido a sua autoridade.

(113)

A Comissão avaliou igualmente as limitações e garantias, incluindo a supervisão e os mecanismos individuais de recurso disponíveis na legislação japonesa, no tocante à recolha e utilização subsequente de dados pessoais transferidos por autoridades públicas para operadores comerciais no Japão, para fins de interesse público, designadamente para efeitos de aplicação do direito penal e de segurança nacional («acesso governamental»). Nesta matéria, o Governo japonês apresentou à Comissão declarações, garantias e compromissos oficiais, assinados ao mais alto nível ministerial e das agências, os quais constam do anexo II da presente decisão.

(114)

Enquanto exercício da autoridade pública, o acesso governamental no Japão deve ter lugar no pleno respeito pela lei (princípio da legalidade). A Constituição japonesa contém disposições nesta matéria que limitam e enquadram a recolha de dados pessoais pelas autoridades públicas. Como já foi mencionado em relação ao tratamento pelos operadores comerciais, o Supremo Tribunal do Japão, com base no artigo 13.o da Constituição, que protege o direito à liberdade, tem reconhecido o direito à privacidade e à proteção dos dados (72). Um aspeto importante desse direito é a liberdade de não permitir que as informações pessoais sejam divulgadas a terceiros (73). Tal implica o direito à proteção efetiva dos dados pessoais contra abusos e (em particular) contra o acesso ilícito. É assegurada proteção adicional no artigo 35.o da Constituição, relativo ao direito de todas as pessoas à inviolabilidade do seu domicílio, documentos e haveres, o que exige que as autoridades públicas obtenham um mandado judicial emitido com «justificação suficiente» (74) em todos os casos de «buscas e apreensões». No seu acórdão de 15 de março de 2017 (processo GPS), o Supremo Tribunal esclareceu que a exigência de mandado judicial se aplica sempre que haja uma ingerência do Governo na esfera privada sem ter em conta a vontade da pessoa singular, nomeadamente através de um «inquérito coercivo». Um juiz só pode emitir um mandado se existirem suspeitas concretas da prática de um crime, ou seja, quando disponha de provas documentais que o levem a considerar que a pessoa objeto do inquérito cometeu uma infração penal (75). Consequentemente, as autoridades japonesas não estão autorizadas a recolher informações pessoais por meios coercivos em situações em que ainda não tenha ocorrido qualquer violação da lei (76), designadamente a fim de evitar um crime ou qualquer outra ameaça à segurança (como no caso de inquéritos por razão de segurança nacional).

(115)

Ao abrigo do princípio da reserva da lei, a recolha de dados no âmbito de um inquérito coercivo deve ser especificamente autorizada por lei (como dispõe, por exemplo, o artigo 197.o, n.o 1, do Código de Processo Penal (CPP), em relação à recolha coerciva de informações para efeitos de uma investigação criminal). Esta exigência aplica-se igualmente ao acesso a informações eletrónicas.

(116)

Mais importante ainda, o artigo 21.o, n.o 2, da Constituição garante o sigilo de todos os meios de comunicação, sendo que a legislação apenas permite limitações por razões de interesse público. O artigo 4.o da Lei relativa às atividades de telecomunicações, que proíbe a violação do sigilo das comunicações geridas pelas empresas de telecomunicações, aplica esta exigência de confidencialidade ao nível do direito comum. Esta exigência tem sido interpretada como proibindo a divulgação de informações contidas nas comunicações, exceto com o consentimento dos utilizadores ou quando baseada numa das isenções explícitas de responsabilidade penal nos termos do Código Penal (77).

(117)

A Constituição garante ainda o direito de acesso aos tribunais (artigo 32.o) e o direito de processar o Estado para obter reparação, no caso de uma pessoa singular ter sofrido danos na sequência de um ato ilegal praticado por um funcionário público (artigo 17.o).

(118)

No que se refere, em especial, ao direito à proteção dos dados, o capítulo III, secções 1, 2 e 3, da APPI estabelece os princípios gerais que abrangem todos os setores, incluindo o setor público. Em concreto, o artigo 3.o da APPI prevê que todas as informações pessoais devem ser geridas em conformidade com o princípio do respeito pela personalidade das pessoas singulares. Uma vez recolhidas («obtidas») as informações pessoais pelas autoridades públicas (78), incluindo as integradas em registos eletrónicos, a sua gestão rege-se pela Lei relativa à proteção de informações pessoais na posse de órgãos administrativos («APPIHAO») (79). Esta inclui também, em princípio (80), o tratamento de informações pessoais para efeitos de aplicação do direito penal ou de segurança nacional. A APPIHAO prevê, entre outras disposições, que as autoridades públicas: i) só podem conservar informações pessoais na medida do necessário à execução das suas funções; ii) não devem utilizar essas informações para uma finalidade «injusta» ou divulgá-las a terceiros sem justificação; (iii) devem especificar a finalidade e não a alterar para além do que pode razoavelmente considerar-se como relevante para a finalidade original (limitação da finalidade); iv) não devem, em princípio, utilizar ou transmitir a terceiros as informações pessoais conservadas e, caso considerem necessário fazê-lo, devem impor limitações à finalidade ou ao método de utilização das informações por terceiros; v) devem esforçar-se por garantir a correção das informações (qualidade dos dados); vi) devem tomar as medidas necessárias à gestão adequada das informações e à prevenção de fuga, perda ou deterioração das mesmas (segurança dos dados); e vii) devem esforçar-se por tratar, de forma correta e expedita, quaisquer reclamações relativas ao tratamento das informações (81).

(119)

A legislação japonesa contém várias limitações ao acesso e utilização de dados pessoais para efeitos de aplicação do direito penal, bem como mecanismos de supervisão e vias de recurso que estabelecem garantias suficientes para a proteção eficaz dos dados contra ingerência ilícita e o risco de abusos.

(120)

O quadro jurídico japonês autoriza a recolha de informações eletrónicas para efeitos de aplicação do direito penal, com base num mandado (recolha coerciva) ou num pedido de divulgação voluntária.

(121)

Conforme indicado no considerando 115, a recolha de dados no âmbito de um inquérito coercivo deve ser especificamente autorizada por lei e só pode ser efetuada com base num mandado judicial «emitido com justificação suficiente» (artigo 35.o da Constituição). No que se refere à investigação de infrações penais, esta exigência encontra-se consignada nas disposições do Código de Processo Penal («CPP»). Nos termos do artigo 197.o, n.o 1, do CPP, «não serão aplicadas» medidas coercivas «a menos que tenham sido definidas disposições especiais neste código». Relativamente à recolha de informações eletrónicas, as únicas bases jurídicas pertinentes (82) nesta matéria são o artigo 218.o (busca e apreensão) e o artigo 222.o, n.o 2, ambos do CPP, segundo os quais as medidas coercivas para a interceção de comunicações eletrónicas sem o consentimento de qualquer uma das partes serão executadas com base noutras leis, nomeadamente, a Lei das Escutas para efeitos de investigação criminal («Lei das Escutas»). Em ambos os casos, aplica-se a exigência de um mandado.

(122)

Mais concretamente, nos termos do artigo 218.o, n.o 1, do CPP, o procurador, procurador adjunto ou agente da polícia judiciária pode, se necessário para a investigar a infração, efetuar uma busca ou apreensão (incluindo uma ordem de entrega de registos) mediante mandado previamente emitido por um juiz (83). Um tal mandado deve conter, entre outros elementos, o nome do suspeito ou do arguido, a infração que lhe é imputada (84), os registos eletromagnéticos a apreender e o «local ou materiais» a inspecionar (artigo 219.o, n.o 1, do CPP).

(123)

No que se refere à interceção de comunicações, o artigo 3.o da Lei das Escutas apenas autoriza tais medidas em condições muito específicas. Em particular, as autoridades públicas devem obter previamente um mandado judicial que só pode ser emitido para a investigação de crimes graves específicos (enumerados no anexo da lei) (85) e no caso de ser «extremamente difícil identificar o criminoso ou esclarecer, por outros meios, as circunstâncias/pormenores do crime» (86). Nos termos do artigo 5.o da Lei das Escutas, o mandado é emitido por um período de tempo limitado e o juiz pode impor condições adicionais. A Lei das Escutas prevê, além disso, uma série de outras garantias, nomeadamente a presença obrigatória de testemunhas (artigos 12.o e 20.o), a proibição de realizar escutas aos membros de certos grupos que têm acesso a informações confidenciais (por exemplo, médicos e advogados) (artigo 15.o), a obrigação de pôr termo a escutas que já não se justifiquem embora o mandato ainda seja válido (artigo 18.o) ou a obrigação geral de informar a pessoa escutada e de lhe facultar acesso às gravações no prazo de trinta dias a contar da data de termo da escuta (artigos 23.o e 24.o).

(124)

No que se refere a quaisquer medidas coercivas baseadas num mandado, este tipo de averiguação só pode ser conduzida «na medida do necessário para atingir o seu objetivo», ou seja, se os objetivos da investigação não puderem ser atingidos de outro modo (artigo 197.o, n.o 1, do CPP). Se bem que os critérios para determinar a necessidade não sejam especificados em mais pormenor no direito comum, o Supremo Tribunal do Japão decidiu que o juiz que emite um mandado deve proceder a uma avaliação geral tendo particularmente em conta i) a gravidade da infração e a forma como foi cometida; ii) o valor e a importância dos materiais a apreender como elementos de prova; iii) a probabilidade (risco) de esses elementos de prova serem ocultados ou destruídos; e iv) a medida em que a apreensão pode prejudicar a pessoa afetada (87).

(125)

Nos limites da sua competência, as autoridades públicas podem também recolher informações eletrónicas com base em pedidos de divulgação voluntária. Trata-se de uma forma não coerciva de cooperação em que a satisfação do pedido não pode ser imposta (88), dispensando assim as autoridades públicas do dever de obter um mandado judicial.

(126)

Se o pedido se dirigir a um operador comercial e se referir a informações pessoais, o operador comercial é obrigado a cumprir as exigências da APPI. Nos termos do artigo 23.o, n.o 1, da APPI, os operadores comerciais só podem divulgar informações pessoais a terceiros sem o consentimento da pessoa singular em causa em casos determinados, incluindo quando a divulgação «se fundamente em leis e regulamentos» (89). No domínio da aplicação do direito penal, a base jurídica para tais pedidos está prevista no artigo 197.o, n.o 2, do CPP, nos termos do qual «pode ser solicitado às organizações privadas que transmitam informações necessárias relacionadas com a investigação.» Uma vez que só é permitida no âmbito de uma investigação criminal, uma «ficha de inquérito» pressupõe uma suspeita concreta de um crime já cometido (90). Além disso, dado que tais investigações são geralmente conduzidas pela polícia distrital, aplicam-se as limitações definidas no artigo 2.o, n.o 2, da Lei da Polícia (91). Nos termos desta disposição, as atividades da polícia estão «estritamente limitadas» ao cumprimento das suas responsabilidades e deveres (ou seja, a prevenção, a repressão e a investigação de crimes). Por outro lado, no exercício das suas funções, a polícia deve atuar de modo imparcial, justo e sem preconceito, não podendo, em circunstância alguma, abusar dos seus poderes «de uma forma que interfira nos direitos e liberdades de uma pessoa singular garantidos na Constituição do Japão» (que incluem, como indicado, o direito à privacidade e à proteção dos dados) (92).

(127)

No que se refere especificamente ao artigo 197.o, n.o 2, do CPP, a Agência Nacional de Polícia («NPA»), enquanto autoridade federal responsável, entre outros, por todos os assuntos relativos à polícia judiciária, emitiu instruções à polícia distrital (93) sobre a «utilização correta de inquéritos escritos em processos de investigação». Nos termos desta notificação, os pedidos devem ser apresentados através do formulário pré-estabelecido («formulário n.o 49» ou a denominada «ficha de inquérito») (94), bem como dizer respeito a registos «relativos a uma investigação específica», e as informações solicitadas devem ser «necessárias para [essa] investigação». Em cada caso, o investigador-chefe deve «examinar exaustivamente a necessidade, conteúdo, etc. [do] inquérito concreto» e obter a aprovação interna de um funcionário superior.

(128)

Além disso, em dois acórdãos de 1969 e 2008 (95), o Supremo Tribunal do Japão estipulou limitações quanto a medidas não coercivas que interferem no direito à privacidade (96). Em particular, o tribunal considerou que tais medidas deviam ser «razoáveis» e cingir-se aos «limites geralmente admissíveis», ou seja, deviam ser necessárias para a investigação de um suspeito (recolha de elementos de prova) e aplicadas «por métodos adequados ao cumprimento da finalidade [da] investigação.» (97) Os acórdãos revelam que tal pressupõe um teste de proporcionalidade que considera todas as circunstâncias do caso (designadamente, o grau de ingerência no direito à privacidade, incluindo a expectativa de privacidade, a gravidade do crime, a probabilidade de obter elementos de prova úteis, a importância desses elementos, eventuais meios alternativos de investigação, etc.) (98).

(129)

Além destas limitações ao exercício da autoridade pública, espera-se que os próprios operadores comerciais verifiquem («confirmem») a necessidade e a «racionalidade» da transmissão a terceiros (99). Coloca-se também aqui a questão de saber se estão legalmente impedidos de cooperar. Estas obrigações legais contraditórias podem resultar, nomeadamente, de deveres de confidencialidade, decorrentes por exemplo do artigo 134.o do Código Penal (respeitante à relação entre um médico, um advogado, um sacerdote, etc. e um cliente). De igual modo, «qualquer pessoa que exerça atividade no setor das telecomunicações deve, enquanto em funções, preservar as informações confidenciais de terceiros de que tenha tomado conhecimento no âmbito de comunicações geridas pela empresa de telecomunicações» (artigo 4.o, n.o 2, da Lei relativa às atividades de telecomunicações). Esta obrigação é acompanhada pela sanção estabelecida no artigo 179.o da Lei relativa às atividades de telecomunicações, nos termos do qual qualquer pessoa que viole o sigilo das comunicações geridas por uma empresa de telecomunicações será dada como culpada de uma infração penal e punida com uma pena de prisão com possibilidade de prestação de trabalho até dois anos ou com multa até um milhão de ienes (100). Embora esta exigência não seja absoluta e permita que sejam adotadas medidas em violação do sigilo das comunicações, que constituam «atos justificáveis» na aceção do artigo 35.o do Código Penal (101), esta derrogação não abrange a resposta a pedidos não coercivos por parte das autoridades públicas quanto à divulgação de informações eletrónicas nos termos do artigo 197.o, n.o 2, do CPP.

(130)

Após a respetiva recolha pelas autoridades públicas japonesas, as informações pessoais são abrangidas pelo âmbito de aplicação da APPIHAO. Esta lei regulamenta a gestão (tratamento) das «informações pessoais conservadas» e, nesta medida, impõe um conjunto de limitações e garantias (ver o considerando 118) (102). Por outro lado, o facto de um órgão administrativo poder conservar informações pessoais «apenas quando a conservação é necessária para a condução dos assuntos sob a sua jurisdição previstos nas leis e nos regulamentos» (artigo 3.o, n.o 1, da APPIHAO) também impõe restrições, pelo menos indiretamente, à recolha inicial.

(131)

No Japão, a recolha de informações eletrónicas no domínio da aplicação do direito penal incumbe sobretudo (103) à polícia distrital (104), que está sujeita, nesta matéria, a vários níveis de supervisão.

(132)

Em primeiro lugar, em todos os casos em que são recolhidas informações eletrónicas por meios coercivos (busca e apreensão), a polícia tem de obter previamente um mandado judicial (ver o considerando 121). Em tais casos, a recolha será, por conseguinte, verificada previamente por um juiz, com base numa norma rigorosa de «justificação suficiente».

(133)

Embora não exista qualquer verificação prévia por um juiz no caso de pedidos de divulgação voluntária, os operadores comerciais a quem se dirigem podem opor-se aos mesmos sem arriscar sofrer consequências negativas (devendo tomar em consideração o impacto na privacidade de tal divulgação). Além disso, nos termos do artigo 192.o, n.o 1, do CPP, os agentes da polícia devem sempre cooperar e coordenar as suas ações com a procuradoria (e a Comissão Distrital para a Segurança Pública) (105). Por seu lado, a procuradoria pode emitir as instruções gerais necessárias, em que estabelece normas para uma investigação justa, e/ou emitir ordens específicas relativas a uma investigação concreta (artigo 193.o do CPP). Caso essas instruções e/ou ordens não sejam acatadas, pode abrir um processo tendo em vista uma ação disciplinar (artigo 194.o do CPP). Como tal, a polícia distrital funciona sob a supervisão da procuradoria.

(134)

Em segundo lugar, nos termos do artigo 62.o da Constituição, ambas as câmaras do Parlamento japonês (a Dieta) podem conduzir investigações relativas ao Governo, incluindo sobre a licitude da recolha de informações pela polícia. Para o efeito, podem exigir a presença e o depoimento de testemunhas e/ou a entrega de registos. Tais poderes de investigação encontram-se especificados em mais pormenor na Lei da Dieta, em particular, no capítulo XII. Mais concretamente, o artigo 104.o da Lei da Dieta estabelece que o Conselho de Ministros, os organismos públicos e outras instâncias governamentais «devem satisfazer os pedidos de uma Câmara ou de qualquer uma das suas comissões para que apresentem relatórios e registos necessários para apreciação no âmbito da investigação.» A recusa em satisfazer tais pedidos só é permitida se o Governo apresentar um motivo plausível, que a Dieta considere aceitável, ou mediante a emissão de uma declaração formal de que a divulgação dos relatórios ou registos seria «gravemente prejudicial para o interesse nacional» (106). Além disso, os membros da Dieta podem formular perguntas por escrito ao Conselho de Ministros (artigos 74.o e 75.o da Lei da Dieta), sendo que, no passado, estas «perguntas escritas» também abordaram a gestão de informações pessoais pela administração (107). O papel de supervisão do executivo por parte da Dieta é acompanhado de obrigações de comunicação de informações, nomeadamente nos termos do artigo 29.o da Lei das Escutas.

(135)

Em terceiro lugar, ainda no âmbito do poder executivo, a polícia distrital está sujeita a supervisão independente. Esta refere-se, em particular, às Comissões Distritais para a Segurança Pública, criadas a nível distrital, a fim de assegurar a administração democrática e a neutralidade política da polícia (108). Estas comissões são constituídas por membros designados pelo Governador Distrital, mediante a aprovação da Assembleia Distrital (de entre cidadãos sem atividade, nos cinco anos anteriores, como funcionários públicos na polícia), os quais só podem ser destituídos com justa causa (109). Segundo a informação recebida, não estão sujeitas a instruções, podendo assim ser consideradas plenamente independentes (110). No que se refere às competências e poderes das Comissões Distritais para a Segurança Pública, nos termos do artigo 38.o, n.o 3, conjugado com os artigos 2.o e 36.o, n.o 2, da Lei da Polícia, estas são responsáveis pela «proteção dos direitos e liberdades das pessoas singulares». Para o efeito, têm competência para «supervisionar» (111) todas as atividades de investigação da polícia distrital, incluindo a recolha de dados pessoais. Compete-lhes, nomeadamente, «instruir, se for caso disso, a polícia distrital, em pormenor ou em relação a casos concretos sob investigação quanto a faltas graves cometidas por agentes da polícia.» (112) Se o chefe da polícia distrital (113) receber uma instrução desse tipo ou tomar conhecimento da suspeita de uma falta grave por parte do pessoal (incluindo a violação de leis ou a negligência no cumprimento do dever), é obrigado a investigar imediatamente a ocorrência e a comunicar o resultado dessa investigação à Comissão Distrital para a Segurança Pública (artigo 56.o, n.o 3, da Lei da Polícia). Se a comissão considerar necessário, pode igualmente incumbir um dos seus membros de apreciar a evolução da implementação. O processo continua até que a Comissão Distrital para a Segurança Pública considere que o incidente foi devidamente resolvido.

(136)

Além disso, no que se refere à aplicação correta da APPIHAO, o ministro ou o diretor de serviços competente (por exemplo, o comissário-geral da Agência Nacional de Polícia) dispõe de poderes de execução coerciva, subordinados à supervisão do Ministério dos Assuntos Internos e das Comunicações. Nos termos do artigo 49.o da APPIHAO, o Ministério dos Assuntos Internos e das Comunicações «pode recolher relatórios sobre a evolução da aplicação desta lei» junto dos responsáveis pelos órgãos administrativos (ministro). Esta função de supervisão é apoiada por contributos dos 51 «centros de informações globais» do Ministério dos Assuntos Internos e das Comunicações (um em cada distrito do Japão), os quais procedem anualmente o tratamento de milhares de consultas de pessoas singulares (114) (as quais podem, por sua vez, revelar eventuais violações da lei). Sempre que o entenda necessário para garantir o cumprimento da lei, o referido ministério pode solicitar a apresentação de explicações e materiais, bem como emitir pareceres, relativamente à gestão de informações pessoais pelo órgão administrativo em causa (artigos 50.o e 51.o da APPIHAO).

(137)

Além da supervisão ex officio, as pessoas singulares dispõem igualmente de várias possibilidades de obter reparação individual, tanto através de autoridades independentes (como as Comissões Distritais para a Segurança Pública ou a PPC) como dos tribunais japoneses.

(138)

Em primeiro lugar, relativamente a informações pessoais recolhidas pelos órgãos administrativos, estes são obrigados a «esforçar-se por tratar, de forma correta e expedita, quaisquer reclamações» relativas ao seu tratamento subsequente (artigo 48.o da APPIHAO). Embora o capítulo IV da APPIHAO sobre direitos individuais não se aplique no caso de informações pessoais registadas em «documentos relacionados com processos jurídicos e com materiais apreendidos» (artigo 53.o-2, n.o 2, do CPP), que abranjam informações pessoais recolhidas no âmbito de investigações criminais, as pessoas singulares podem apresentar uma reclamação com base nos princípios gerais de proteção de dados, como por exemplo a obrigação de apenas conservar informações pessoais «quando a conservação seja necessária para [aplicar coercivamente a lei]» (artigo 3.o, n.o 1, da APPIHAO).

(139)

Além disso, o artigo 79.o da Lei da Polícia garante às pessoas singulares, que tenham preocupações quanto ao respeito pela «execução do dever» pelo pessoal da polícia, o direito de apresentar uma reclamação junto da (competente) Comissão Distrital para a Segurança Pública independente. A Comissão procede «fidedignamente» ao tratamento destas reclamações em conformidade com as leis e as portarias locais e notifica o reclamante por escrito dos resultados. Com base na sua competência para supervisionar e «instruir» a polícia distrital relativamente a uma «falta grave por parte do pessoal» (artigos 38.o, n.o 3, e 43.o-2, n.o 1) da Lei da Polícia), pode solicitar à polícia distrital que investigue os factos, tome medidas adequadas, com base no resultado da investigação, e comunique os resultados. Se entender que a investigação conduzida pela polícia não foi adequada, a Comissão pode também emitir instruções sobre o tratamento a dar à reclamação.

(140)

A fim de facilitar o tratamento das reclamações, a Agência Nacional de Polícia emitiu uma «comunicação» à polícia e às Comissões Distritais para a Segurança Pública sobre o tratamento correto das reclamações relativas à execução do dever pelos agentes da polícia. Neste documento, a Agência Nacional de Polícia define normas para a interpretação e aplicação do artigo 79.o da Lei da Polícia. Entre outras exigências, requer que a polícia distrital estabeleça um «sistema de tratamento de reclamações» e que trate e comunique «imediatamente» todas as reclamações à Comissão Distrital para a Segurança Pública competente. A referida comunicação define reclamação como o pedido de correção «de uma desvantagem concreta sofrida como resultado de um comportamento ilegal ou inadequado» (115) ou «a falta de adoção das medidas necessárias por um agente da polícia no exercício de funções» (116), bem como «a insatisfação/descontentamento com a forma inadequada como um agente da polícia exerceu as respetivas funções». Deste modo, o âmbito material da reclamação é definido de uma forma lata, abrangendo todos os pedidos ilegais de recolha de dados, e dispensando o autor da mesma de demonstrar a existência de danos sofridos em resultado da intervenção do agente da polícia. Mais importante ainda, essa comunicação estipula que os estrangeiros (entre outros) deverão receber assistência na formulação das reclamações. Na sequência de uma reclamação, as Comissões Distritais para a Segurança Pública devem assegurar que a polícia distrital analisa os factos, adota medidas «em conformidade com o resultado da análise» e comunica os resultados. Sempre que considere que a análise foi insuficiente, a Comissão emite uma instrução sobre o tratamento da reclamação, que a polícia distrital é obrigada a seguir. Tendo em conta os relatórios recebidos e as medidas adotadas, a Comissão notifica a pessoa singular indicando, nomeadamente, as medidas tomadas para atender a reclamação. A comunicação da Agência Nacional de Polícia salienta que as reclamações devem ser tratadas «com a devida atenção» e que o resultado deve ser comunicado «dentro do prazo […] considerado adequado à luz das normas sociais e do senso comum.»

(141)

Em segundo lugar, uma vez que qualquer recurso terá lugar, naturalmente, num sistema e numa língua estrangeiros, a fim de facilitar a obtenção de reparação por pessoas singulares da UE, cujos dados tenham sido transferidos para operadores comerciais no Japão e subsequentemente utilizados por autoridades públicas, o Governo japonês criou, no âmbito das suas competências, um mecanismo específico, administrado e supervisionado pela PPC, para tratar e resolver as reclamações neste domínio. Este mecanismo assenta no dever de cooperação, que a APPI impõe às autoridades públicas japonesas, e no papel especial da PPC relativamente às transferências internacionais de dados de países terceiros, nos termos do artigo 6.o da APPI e da «Política de Base» (tal como definida pelo Governo japonês por decreto ministerial). Os pormenores deste mecanismo figuram nas declarações, garantias e compromissos oficiais recebidos do Governo japonês e que constam do anexo II da presente decisão. O mecanismo não está sujeito a quaisquer requisitos em matéria de legitimidade, podendo ser utilizado por qualquer pessoa singular, independentemente de ser ou não suspeita ou acusada da prática de um crime.

(142)

Nos termos do mecanismo, uma pessoa que suspeite que os seus dados transferidos da União Europeia foram recolhidos ou utilizados pelas autoridades públicas no Japão (incluindo as responsáveis pela aplicação do direito penal), em violação das normas aplicáveis, pode apresentar uma reclamação à PPC (individualmente ou através da respetiva autoridade responsável pela proteção de dados, na aceção do artigo 51.o do RGPD). A PPC tem a obrigação de tratar a reclamação e de, numa primeira fase, informar as autoridades públicas competentes sobre a mesma, incluindo os organismos de controlo pertinentes. Estas autoridades são obrigadas a cooperar com a PPC, «incluindo através da disponibilização das informações necessárias e do material relevante, para que esta possa avaliar se a recolha ou a utilização subsequente das informações pessoais respeitou as normas em vigor» (117). Esta obrigação, resultante do artigo 80.o da APPI (que exige às autoridades públicas japonesas que cooperem com a PPC), é de aplicação geral, abrangendo assim a análise de todas as medidas de investigação adotadas pelas referidas autoridades. Estas encontram-se, aliás, obrigadas a prestar essa cooperação por força das garantias prestadas por escrito pelos ministérios e pelos diretores de serviços competentes, como consta do anexo II.

(143)

Se a avaliação indicar que ocorreu uma violação das normas em vigor, a «cooperação das autoridades públicas em causa com a PPC inclui a obrigação de pôr termo à violação», o que, no caso da recolha ilícita de informações pessoais, implica o apagamento dos dados. Mais importante ainda, esta obrigação é cumprida sob a supervisão da PPC, que «confirmará, antes de concluir a avaliação, que foi posto termo à violação.»

(144)

Uma vez concluída a avaliação, a PPC deve notificar a pessoa singular do resultado da mesma, dentro de um prazo razoável, incluindo, das eventuais medidas corretivas adotadas. Ao mesmo tempo, a PPC deve informar igualmente a pessoa singular sobre a possibilidade de obter confirmação do resultado junto da autoridade pública competente e sobre a identidade da autoridade a quem esse pedido de confirmação deve ser dirigido. A possibilidade de receber esta confirmação, incluindo as razões subjacentes à decisão da autoridade competente, podem ser úteis para a tomada de medidas adicionais pela pessoa em causa, inclusive para efeitos da interposição de um recurso judicial. As informações pormenorizadas sobre o resultado da avaliação podem ser limitadas, desde que existam motivos razoáveis para considerar que a comunicação das mesmas é suscetível de comportar um risco para a investigação em curso.

(145)

Em terceiro lugar, uma pessoa que discorde de uma decisão judicial de apreensão (mandado) (118) dos respetivos dados pessoais ou das medidas tomadas pela polícia ou pela procuradoria para executar essa decisão, pode apresentar um pedido para que a decisão ou as medidas em causa sejam revogadas ou alteradas (artigos 429.o, n.o 1, e 430.o, n.os 1 e 2, do CPP e artigo 26.o da Lei das Escutas) (119). Caso o tribunal de recurso considere o mandado ou a respetiva execução («procedimento de apreensão») como sendo ilegal, considera o pedido procedente e ordena a devolução dos materiais apreendidos (120).

(146)

Em quarto lugar, como uma forma mais indireta de controlo judicial, qualquer pessoa singular que considere ilícita a recolha das suas informações pessoais no âmbito de uma investigação criminal, pode invocar essa ilicitude em sede de julgamento penal. Se o tribunal concordar, as provas serão consideradas inadmissíveis e serão excluídas.

(147)

Por último, nos termos do artigo 1.o, n.o 1, da Lei relativa a recurso contra o Estado, um tribunal pode determinar o pagamento de indemnização, no caso de um funcionário público, que exerça a autoridade pública do Estado, ter causado, no exercício das suas funções, danos à pessoa singular em causa, ilegalmente e com culpa (de forma intencional ou negligente). Nos termos do artigo 4.o da Lei relativa a recurso contra o Estado, a responsabilidade do Estado por danos baseia-se nas disposições do Código Civil. Nesta matéria, o artigo 710.o do Código Civil determina que a responsabilidade não abrange unicamente os danos materiais, cobrindo igualmente os danos morais (designadamente, sob a forma de «angústia mental»). Tal inclui casos em que a privacidade de uma pessoa tenha sido violada através de vigilância ilícita e/ou da recolha das suas informações pessoais (por exemplo, a execução ilegal de um mandado) (121).

(148)

Além de compensação monetária, as pessoas singulares podem também, sob certas condições, obter uma medida inibitória (designadamente, o apagamento dos dados pessoais recolhidos pelas autoridades públicas), com base nos seus direitos de privacidade consagrados no artigo 13.o da Constituição (122).

(149)

No que se refere a todas estas vias de recurso, o mecanismo de resolução de litígios criado pelo Governo japonês prevê que uma pessoa singular, que esteja insatisfeita com o resultado do processo, possa interpelar a PPC, «a qual informará a pessoa sobre as diversas possibilidades e os procedimentos circunstanciados para obter reparação proporcionados pelas leis e regulamentos japoneses.» Por outro lado, a PPC «prestará apoio à pessoa singular, incluindo aconselhamento e assistência na tomada de outras medidas junto do órgão administrativo ou judicial relevante.»

(150)

Estas incluem o exercício dos direitos processuais ao abrigo do Código de Processo Penal. Por exemplo, «[c]aso a avaliação revele que determinada pessoa singular é suspeita num processo penal, a PPC informa essa pessoa do facto» (123), bem como da possibilidade conferida pelo artigo 259.o do CPP de solicitar à procuradoria que a notifique se decidir não instaurar uma ação penal. De igual modo, se a avaliação revelar que foi iniciado um processo relacionado com as informações pessoais da pessoa singular e que o mesmo foi arquivado, a PPC informa a pessoa de que pode, nos termos do artigo 53.o do CPP (e do artigo 4.o da Lei relativa aos autos finais dos processos penais), consultar os autos do processo. A obtenção de acesso pela pessoa singular aos autos do seu processo é importante, na medida em que a ajuda a melhor compreender a investigação conduzida contra si e a preparar, deste modo, uma eventual ação judicial (nomeadamente o pedido de indemnização), caso considere que os seus dados foram ilicitamente recolhidos ou utilizados.

(151)

Segundo as autoridades japonesas, nenhuma lei nacional permite formular um pedido coercivo de informações ou «escutas administrativas» fora do âmbito das investigações criminais. Por conseguinte, por razões de segurança nacional, as informações só podem ser obtidas junto de uma fonte de informação a que qualquer pessoa tenha livre acesso ou através de divulgação voluntária. Os operadores comerciais que recebam um pedido de cooperação voluntária (sob a forma de divulgação de informações eletrónicas) não têm qualquer obrigação jurídica de prestar essas informações (124).

(152)

Por outro lado, segundo as informações recebidas, só quatro entidades governamentais têm competência para recolher informações eletrónicas na posse de operadores comerciais japoneses, por razões de segurança nacional, nomeadamente: i) o Serviço de Informações e Investigação do Governo (CIRO); ii) o Ministério da Defesa; iii) a polícia (tanto a Agência Nacional de Polícia (125) como a polícia distrital); e iv) a Agência de Informações de Segurança Pública («PSIA»). No entanto, o CIRO nunca recolhe informações diretamente junto dos operadores comerciais, incluindo através da intercetação de comunicações. Quando recebam informações de outras autoridades públicas, a fim de fornecer análises ao Governo, estas outras autoridades são obrigadas, por seu turno, a cumprir a lei, nomeadamente as limitações e garantias analisadas na presente decisão. Por esse motivo, as suas atividades não são pertinentes num contexto de transferência.

(153)

De acordo com a informação recebida, o Ministério da Defesa recolhe informações (eletrónicas) com base na lei que criou este ministério. Nos termos do respetivo artigo 3.o, a função do Ministério da Defesa é assegurar a gestão e o funcionamento das forças militares e «conduzir os assuntos com elas relacionados a fim de garantir a paz e a independência nacionais, bem como a segurança da nação.» O artigo 4.o, n.o 4, da referida lei estabelece que jurisdição do Ministério da Defesa abrange a «defesa e proteção», as ações a empreender pelas Forças de Autodefesa e a mobilização das forças militares, incluindo a recolha das informações necessárias à condução desses assuntos. A sua competência para recolher informações (eletrónicas) junto dos operadores comerciais limita-se à recolha através de cooperação voluntária.

(154)

Quanto à polícia distrital, as suas responsabilidades e deveres incluem a «manutenção da segurança e da ordem públicas» (artigo 35.o, n.o 2, em conjugação com o artigo 2.o, n.o 1, da Lei da Polícia). No quadro destas competências, a polícia pode recolher informações, mas unicamente a título voluntário, sem qualquer força jurídica. Além disso, as atividades da polícia devem ser «limitadas ao estritamente necessário» para desempenhar as suas funções. Além disso, deve atuar de forma «imparcial, não partidária, justa e sem preconceitos», sem nunca abusar dos seus poderes «de forma alguma que interfira nos direitos e liberdades de uma pessoa singular consagrados na Constituição do Japão» (artigo 2.o da Lei da Polícia).

(155)

Por último, a PSIA pode conduzir inquéritos ao abrigo da Lei relativa à prevenção de atividades subversivas («SAPA») e da Lei relativa ao controlo de organizações que cometeram assassínios em massa («ACO»), quando tais inquéritos se tornem necessários para preparar a adoção de medidas de controlo contra certas organizações (126). No âmbito de ambas as leis, a pedido do diretor-geral da PSIA, a Comissão de Análise da Segurança Pública pode emitir determinados «atos» (vigilância/proibições no caso da ACO (127), dissolução/proibições no caso da SAPA (128)) e, no contexto da PSIA, pode conduzir inquéritos (129). Segundo a informação recebida, os referidos inquéritos são sempre conduzidos a título voluntário, o que significa que a PSIA não pode obrigar um detentor de informações pessoais a fornecer essas informações (130). Em todos os casos, os controlos e inquéritos devem ser conduzidos apenas na medida mínima necessária para alcançar a finalidade do controlo, não devendo, em circunstância alguma, ser realizados para restringir «de forma injustificada» os direitos e liberdades consagrados na Constituição do Japão (artigo 3.o, n.o 1, da SAPA/ACO). Por outro lado, nos termos do artigo 3.o, n.o 2, da SAPA/ACO, a PSIA não pode, em caso algum, abusar dos referidos controlos ou dos inquéritos conduzidos para preparar esses controlos. Um oficial de informações de segurança pública que tenha abusado da autoridade que lhe confere a respetiva lei, obrigando uma pessoa a fazer algo que não é obrigada a fazer ou interferindo no exercício dos seus direitos, pode, nos termos do artigo 45.o da SAPA ou do artigo 42.o da ACO, incorrer em sanções penais. Por último, as duas leis prescrevem explicitamente que as respetivas disposições, incluindo os poderes nelas conferidos, não devem «em circunstância alguma ser objeto de interpretação alargada» (artigo 2.o da SAPA/ACO).

(156)

Aplicam-se a todos os casos de acesso governamental, por razões de segurança nacional, descritos nesta secção, as limitações estipuladas pelo Supremo Tribunal japonês aos inquéritos voluntários, o que significa que a recolha de informações (eletrónicas) deve respeitar os princípios da necessidade e da proporcionalidade («método adequado») (131). Como confirmaram explicitamente as autoridades japonesas, «a recolha e o tratamento da informação só podem ter lugar na medida do necessário ao desempenho das atribuições específicas da autoridade pública competente, assim como com base em ameaças concretas». Por conseguinte, encontra-se excluída «a recolha maciça e indiscriminada de informações pessoais, ou o acesso aos mesmos, por razões de segurança nacional» (132).

(157)

Do mesmo modo, uma vez recolhidas, quaisquer informações pessoais conservadas pelas autoridades públicas para efeitos de segurança nacional são abrangidas pela APPIHAO e beneficiam, por conseguinte, das proteções que esta lei confere, quando se trata da sua conservação, utilização e divulgação subsequentes (ver considerando 118).

(158)

A recolha de informações pessoais por razões de segurança nacional está sujeita a vários níveis de supervisão dos três ramos do poder.

(159)

Em primeiro lugar, a Dieta, através das suas comissões especializadas, pode examinar a licitude dos inquéritos com base nos respetivos poderes de escrutínio parlamentar (artigo 62.o da Constituição e artigo 104.o da Lei da Dieta; ver considerando 134). Esta função de supervisão é facilitada por obrigações específicas de comunicação de informações sobre as atividades levadas a cabo no âmbito de algumas das bases jurídicas supramencionadas (133).

(160)

Em segundo lugar, existem vários mecanismos de supervisão a nível do poder executivo.

(161)

No que se refere ao Ministério da Defesa, a supervisão é exercida pela Inspeção-Geral da Conformidade Jurídica (IGO) (134), criada com base no artigo 29.o da lei que cria o Ministério da Defesa como um serviço dentro deste ministério, sob a tutela do ministro da Defesa (ao qual presta contas), mas independente dos departamentos operacionais do ministério. Incumbe à IGO assegurar o cumprimento das leis e regulamentos, assim como o correto exercício das funções pelos funcionários do Ministério da Defesa. Os seus poderes incluem a autoridade para realizar as denominadas «inspeções de defesa», tanto a intervalos regulares («inspeções de defesa regulares») como em casos individuais («inspeções de defesa especiais»), as quais também já abrangeram a gestão correta das informações pessoais (135). No contexto destas inspeções, a IGO pode entrar em instalações (escritórios) e requerer a apresentação de documentos e informações, incluindo explicações da parte do vice-ministro adjunto do Ministério da Defesa. A inspeção termina com a elaboração de um relatório a apresentar ao ministro da Defesa, descrevendo as constatações e as medidas adotadas para introduzir melhorias (cuja aplicação pode, mais uma vez, ser verificada através de inspeções subsequentes). Por sua vez, o relatório constitui a base das instruções do ministro da Defesa com vista à adoção das medidas necessárias para resolver a situação; compete ao vice-ministro adjunto proceder à aplicação dessas medidas, tendo de apresentar um relatório sobre o seguimento que lhes é dado.

(162)

No que se refere à polícia distrital, a supervisão é assegurada pelas Comissões Distritais para a Segurança Pública independentes, como referido no considerando 135 a respeito da aplicação do direito penal.

(163)

Por último, conforme indicado, a PSIA só pode conduzir inquéritos na medida necessária à adoção de um ato de proibição, dissolução ou vigilância, nos termos da SAPA/ACO, sendo que a Comissão Distrital para a Segurança Pública independente (136) exerce supervisão ex ante sobre estes atos. Além disso, são conduzidas inspeções regulares/periódicas (que examinam, de forma exaustiva, as operações da PSIA) (137) e inspeções internas especiais (138) das atividades de departamentos/gabinetes específicos, etc. por inspetores designados para o efeito, as quais podem resultar em instruções aos chefes dos departamentos relevantes, etc. para que adotem medidas corretivas ou de melhoria.

(164)

Estes mecanismos de supervisão, que são ainda mais reforçados pela possibilidade de as pessoas singulares desencadearem a intervenção da PPC, na qualidade de autoridade de controlo independente (ver secção 168 infra), proporcionam garantias adequadas contra o risco de abusos pelas autoridades japonesas dos seus poderes no domínio da segurança nacional e contra eventual recolha ilícita de informações eletrónicas.

(165)

No que respeita ao recurso individual no caso de informações pessoais recolhidas e «conservadas» pelos órgãos administrativos, estes são obrigados a «esforçar-se por tratar, de forma correta e expedita, quaisquer reclamações» quanto ao respetivo tratamento (artigo 48.o da APPIHAO).

(166)

Por outro lado, ao contrário das investigações criminais, a APPIHAO confere, em princípio, às pessoas singulares (incluindo estrangeiros residentes fora do seu país) o direito à divulgação (139), correção (incluindo o apagamento) e suspensão da utilização/transmissão. No entanto, o dirigente do órgão administrativo pode recusar a divulgação, no caso de informações «em relação às quais existam motivos razoáveis […] para considerar que essa divulgação é suscetível de prejudicar a segurança nacional» (ver artigo 14,o. subalínea iv) da APPIHAO) e pode, inclusivamente, fazê-lo sem revelar a existência de tais informações (artigo 17.o da APPIHAO). De igual modo, embora uma pessoa singular possa requerer a suspensão da utilização ou o apagamento, nos termos do artigo 36.o, n.o 1, subalínea i) da APPIHAO, caso o órgão administrativo tenha obtido as informações de forma ilícita ou as conserve/utilize para além do necessário para alcançar a finalidade especificada, a autoridade pode rejeitar o pedido, se entender que a suspensão da utilização «é suscetível de entravar a correta condução dos assuntos relativos à finalidade da utilização das informações pessoais conservadas, devido à natureza dos assuntos referidos» (artigo 38.o da APPIHAO). De qualquer modo, sempre que seja possível separar e excluir facilmente partes que sejam objeto de uma derrogação, os órgãos administrativos são obrigados a permitir a sua divulgação, pelo menos, parcial (ver, por exemplo, o artigo 15.o, n.o 1, da APPIHAO) (140).

(167)

Seja como for, o órgão administrativo deve tomar uma decisão por escrito dentro de um prazo determinado (30 dias, que em certas condições pode ser prorrogado por mais 30 dias). Se o pedido for rejeitado, atendido apenas parcialmente ou a pessoa em causa, por outro motivo, considerar que a conduta do órgão administrativo é «ilegal ou injusta» pode requerer a sua reapreciação administrativa com base na Lei relativa à apreciação de reclamações administrativas (141). Nesse caso, o presidente do órgão administrativo decide sobre o recurso deve consultar o Comité de Avaliação da Divulgação de Informações e da Proteção de Informações Pessoais (artigos 42.o e 43.o da APPIHAO), um comité especializado e independente cujos membros são designados pelo primeiro-ministro mediante a aprovação de ambas as câmaras da Dieta. Segundo a informação recebida, o Comité de Avaliação pode realizar uma apreciação (142) e solicitar, neste contexto, ao órgão administrativo que disponibilize as informações pessoais conservadas, incluindo todo e qualquer conteúdo classificado, assim como outras informações e documentos. Embora não seja juridicamente vinculativo, o relatório final enviado ao reclamante, bem como ao órgão administrativo, e tornado público é, em quase todos os casos, respeitado (143). Além disso, a pessoa singular tem a possibilidade de contestar judicialmente a decisão sobre o recurso com base na Lei do contencioso administrativo. Tal abre caminho ao controlo judicial da utilização da(s) derrogação(ões) relacionada(s) com a segurança nacional, incluindo se tal derrogação foi utilizada abusivamente ou continua a justificar-se.

(168)

A fim de facilitar o exercício dos direitos supramencionados, ao abrigo da APPIHAO, o Ministério dos Assuntos Internos e das Comunicações criou 51 «centros de informações globais», que prestam informações consolidadas sobre esses direitos, sobre os procedimentos aplicáveis para apresentar um pedido e sobre as possíveis vias de recurso (144). Quanto aos órgãos administrativos, estes são obrigados a prestar «informações que contribuam para especificar as informações pessoais conservadas detidas» (145) e a tomar «outras medidas adequadas tendo em vista a conveniência da pessoa que pretende apresentar o pedido» (artigo 47.o, n.o 1, da APPIHAO).

(169)

Como sucede no caso dos inquéritos no domínio da aplicação do direito penal, também no domínio da segurança nacional as pessoas singulares podem obter reparação individual contactando diretamente a PPC. É, assim, desencadeado o procedimento específico de resolução de litígios, criado pelo Governo japonês para as pessoas singulares da UE cujos dados pessoais sejam transferidos no âmbito da presente decisão (ver as explicações pormenorizadas nos considerandos 141 a 144 e 149).

(170)

Além disso, as pessoas singulares podem recorrer judicialmente intentando uma ação por danos, ao abrigo da Lei relativa a recurso contra o Estado, que também abrange danos morais e, sob certas condições, requerer o apagamento dos dados recolhidos (ver considerando 147).

(171)

A Comissão entende que a APPI, completada pelas normas complementares constantes do anexo I, juntamente com as declarações, garantias e compromissos oficiais constantes do anexo II, asseguram um nível de proteção dos dados pessoais transferidos da União Europeia essencialmente equivalente ao garantido pelo Regulamento (UE) 2016/679.

(172)

Por outro lado, a Comissão considera que os mecanismos de controlo e as vias de recurso previstos na legislação japonesa permitem, no seu conjunto, identificar e sancionar na prática as violações pelos PIHBO destinatários, proporcionando vias judiciais aos titulares dos dados para ter acesso aos respetivos dados pessoais e, em última instância, requerer a retificação ou apagamento dos mesmos.

(173)

Por último, com base nas informações disponíveis sobre o quadro jurídico japonês, incluindo as declarações, garantias e compromissos do Governo japonês, que constam do anexo II, a Comissão entende que qualquer ingerência das autoridades públicas japonesas nos direitos fundamentais das pessoais singulares, cujos dados pessoais sejam transferidos da União Europeia para o Japão, para fins de interesse público, designadamente, para efeitos de aplicação do direito penal e de segurança nacional, será limitada ao estritamente necessário para alcançar o objetivo legítimo em causa, existindo uma proteção jurídica eficaz contra tal ingerência.

(174)

Assim, atendendo as constatações efetuadas na presente decisão, a Comissão considera que o Japão garante um nível adequado de proteção dos dados pessoais transferidos da União Europeia para PIHBO no Japão sujeitos à APPI, exceto quando o destinatário seja abrangido por uma das categorias enumeradas no artigo 76.o, n.o 1, da APPI e em que a totalidade ou parte das finalidades do tratamento corresponda a uma das finalidades prescritas nessa disposição.

(175)

Consequentemente, a Comissão conclui que se encontra satisfeito o padrão de adequação descrito no artigo 45.o do Regulamento (UE) 2016/679, interpretado em função da Carta dos Direitos Fundamentais da União Europeia, nomeadamente no acórdão Schrems (146).

(176)

Em conformidade com a jurisprudência do Tribunal de Justiça (147) e tal como reconhecido no artigo 45.o, n.o 4, do Regulamento (UE) 2016/679, a Comissão deve controlar, de forma continuada, os desenvolvimentos relevantes no país terceiro após a adoção de uma decisão de adequação, por forma a avaliar se o Japão continua a assegurar um nível de proteção essencialmente equivalente. De qualquer modo, tal verificação é necessária sempre que a Comissão obtenha informações que suscitem dúvidas justificadas a esse respeito.

(177)

Por conseguinte, a Comissão deve controlar, de forma continuada, a situação relativamente ao quadro jurídico e à prática real em matéria de tratamento de dados pessoais, conforme a avaliação da presente decisão, incluindo o cumprimento pelas autoridades japonesas das declarações, garantias e compromissos que constam do anexo II. Para facilitar este processo, espera-se que as autoridades japonesas informem a Comissão sobre desenvolvimentos materiais que afetem a presente decisão, tanto no tocante ao tratamento de dados pessoais pelos operadores comerciais como às limitações e garantias aplicáveis ao acesso aos dados pessoais pelas autoridades públicas. Tal deverá incluir as eventuais decisões adotadas pela PPC nos termos do artigo 24.o da APPI reconhecendo que um país terceiro assegura um nível de proteção equivalente ao garantido no Japão.

(178)

Além disso, a fim de permitir à Comissão o exercício eficaz da sua função de controlo, os Estados-Membros devem informar a Comissão sobre qualquer medida pertinente adotada pelas autoridades nacionais responsáveis pela proteção dos dados, em particular no que se refere a consultas ou reclamações de titulares de dados da UE relativas à transferência de dados pessoais da União Europeia para operadores comerciais no Japão. A Comissão deve igualmente ser informada sobre quaisquer indícios de que as ações das autoridades públicas japonesas responsáveis pela prevenção, investigação, deteção ou repressão de infrações penais ou pela segurança nacional, incluindo os organismos de controlo, não asseguram o nível de proteção exigido.

(179)

Os Estados-Membros e os respetivos órgãos são obrigados a tomar as medidas necessárias para cumprir os atos das instituições da União, uma vez que se presume que os mesmos são lícitos e logo produzem efeitos jurídicos até serem revogados, anulados no âmbito de um recurso de anulação ou declarados inválidos na sequência de um reenvio prejudicial ou de uma exceção de ilegalidade. Consequentemente, uma decisão de adequação da Comissão adotada nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 é vinculativa para todos os organismos dos Estados-Membros aos quais se destina, nomeadamente para as suas autoridades de controlo independentes. Simultaneamente, tal como explicado no acórdão Schrems (148) do Tribunal de Justiça e reconhecido no artigo 58.o, n.o 5, do Regulamento, se uma autoridade responsável pela proteção de dados colocar em causa, nomeadamente na sequência de uma reclamação, a conformidade de uma decisão de adequação da Comissão com a proteção dos direitos fundamentais à privacidade e à proteção dos dados da pessoa singular, a legislação nacional deve proporcionar-lhe uma via de recurso que lhe permita apresentar tais objeções perante um tribunal nacional que, em caso de dúvida, deve suspender a instância e proceder a um reenvio prejudicial para o Tribunal de Justiça (149).

(180)

Por força do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 (150) e atendendo a que o nível de proteção conferido pelo quadro jurídico japonês pode vir a alterar-se, a Comissão deve, na sequência da adoção da presente decisão, avaliar periodicamente se as verificações de adequação do nível de proteção assegurado pelo Japão continuam a justificar-se de facto e de direito.

(181)

Para tal, a presente decisão deverá ser sujeita a uma primeira avaliação no prazo de dois anos após a sua entrada em vigor. Na sequência dessa primeira avaliação e em função dos seus resultados, a Comissão decidirá, em estreita consulta com o comité criado nos termos do artigo 93.o, n.o 1, do RGPD, se se deve ou não manter o ciclo de dois anos. Em qualquer caso, as revisões subsequentes devem ter lugar, pelo menos, de quatro em quatro anos (151). A avaliação deverá abranger todos os aspetos do funcionamento da presente decisão, nomeadamente a aplicação das normas complementares (com especial atenção às proteções conferidas no caso de transferências subsequentes), a aplicação das normas relativas ao consentimento, incluindo em caso de retirada do mesmo, a eficácia do exercício dos direitos individuais, assim como as limitações e garantias respeitantes ao acesso governamental, incluindo o mecanismo de recurso previsto no anexo II da presente decisão. Deve igualmente abranger a eficácia da supervisão e da aplicação coerciva da legislação, no que diz respeito às regras aplicáveis a ambas as organizações e no domínio da aplicação do direito penal e da segurança nacional.

(182)

A fim de realizar a avaliação, a Comissão deverá reunir-se com a PPC, acompanhada, se for caso disso, por outras autoridades japonesas responsáveis pelo acesso governamental, incluindo os organismos de controlo pertinentes. Essa reunião será aberta à participação de representantes dos membros do Comité Europeu para a Proteção de Dados (CEPD). No quadro da avaliação conjunta, a Comissão deverá solicitar à PPC que preste informações exaustivas sobre todos os aspetos pertinentes para a verificação de adequação, incluindo quanto às limitações e garantias respeitantes ao acesso governamental (152). A Comissão deve também procurar obter explicações sobre quaisquer informações que tenha recebido com relevância para a presente decisão, incluindo relatórios públicos das autoridades japonesas ou de outras partes interessadas no Japão, do CEPD, de autoridades responsáveis pela proteção de dados individuais, de grupos da sociedade civil, notícias na comunicação social ou qualquer outra fonte de informação disponível.

(183)

Com base na avaliação conjunta, a Comissão deverá preparar um relatório público a apresentar ao Parlamento Europeu e ao Conselho.

(184)

Se a Comissão concluir, com base em verificações regulares e pontuais ou em quaisquer outras informações disponíveis, que o nível de proteção conferido pelo quadro jurídico japonês deixou de poder ser considerado como essencialmente equivalente ao da União Europeia, deverá informar as autoridades japonesas competentes do facto e solicitar que sejam adotadas medidas apropriadas dentro de um prazo razoável que especificará. Tal inclui as normas aplicáveis tanto aos operadores comerciais como às autoridades públicas japonesas responsáveis pela aplicação do direito penal ou pela segurança nacional. A título de exemplo, esse procedimento deve ser acionado sempre que transferências subsequentes, incluindo as efetuadas com base nas decisões adotadas pela PPC nos termos do artigo 24.o da APPI, que reconheçam que um país terceiro assegura um nível de proteção equivalente ao garantido no Japão, deixem de ser levadas a cabo ao abrigo de garantias que assegurem a continuidade da proteção, na aceção do artigo 44.o do RGPD.

(185)

Se, uma vez decorrido o prazo especificado, as autoridades japonesas competentes não demonstrarem, de forma satisfatória, que a presente decisão continua a basear-se num nível de proteção adequado, a Comissão deve, por força do artigo 45.o, n.o 5, do Regulamento (UE) 2016/679, iniciar o procedimento conducente à suspensão total ou parcial ou à revogação da presente decisão. Em alternativa, a Comissão pode dar início ao procedimento de alteração da presente decisão, nomeadamente sujeitando as transferências de dados a condições adicionais ou limitando o âmbito de aplicação da verificação de adequação às transferências de dados em relação às quais a continuidade da proteção na aceção do artigo 44.o do RGPD possa ser assegurada.

(186)

Mais concretamente, a Comissão deverá iniciar o procedimento de suspensão ou de revogação quando existam indícios de que os operadores comerciais, que recebem dados pessoais ao abrigo da presente decisão, não cumprem as normas complementares constantes do anexo I e/ou que estas normas não são eficazmente aplicadas, ou ainda se as autoridades japonesas não cumprirem as declarações, garantias e compromissos constantes do anexo II da presente decisão.

(187)

A Comissão deverá igualmente ponderar a possibilidade de iniciar o procedimento conducente à alteração, suspensão ou revogação da presente decisão, se apurar, no contexto da avaliação conjunta ou por outra forma, que as autoridades japonesas competentes não prestam as informações ou esclarecimentos necessários à avaliação do nível de proteção conferido aos dados pessoais transferidos da União Europeia para o Japão ou do cumprimento da presente decisão. Nesta matéria, a Comissão deverá ter em conta em que medida a informação pertinente pode ser obtida junto de outras fontes.

(188)

Por motivos de urgência devidamente justificados, como o risco de violação grave dos direitos dos titulares dos dados, a Comissão pode ponderar a adoção de uma decisão de suspensão ou revogação da presente decisão, com efeitos imediatos, nos termos do artigo 93.o, n.o 3, do Regulamento (UE) 2016/679, em conjugação com o artigo 8.o do Regulamento 182/2011 do Parlamento Europeu e do Conselho (153).

(189)

O Comité Europeu para a Proteção de Dados publicou o seu parecer (154), que foi tido em conta na preparação da presente decisão.

(190)

O Parlamento Europeu adotou uma resolução relativa a uma estratégia comercial digital, que insta a Comissão a atribuir prioridade à adoção de decisões de adequação com parceiros comerciais importantes e a acelerar o respetivo processo, nas condições definidas no Regulamento (UE) 2016/679, enquanto mecanismo fundamental para proteger a transferência de dados pessoais da União Europeia (155). O Parlamento Europeu adotou igualmente uma resolução sobre a adequação da proteção dos dados pessoais concedida pelo Japão (156).

(191)

As medidas previstas na presente decisão são conformes com o disposto no parecer emitido pelo comité criado nos termos do artigo 93.o, n.o 1, do RGPD,