Parliamo di trattamento dei dati personali in Giappone e della sua Legge sulla Protezione delle Informazioni Personali, recentemente modificata. In Europa siamo consapevoli ormai da tempo che il Regolamento Generale sulla Protezione dei Dati – RGPD (o GDPR in inglese General Data Protection Regulation) – fa scuola nel mondo. Tanti altri Paesi fuori dall’Unione Europea adeguano con speditezza le loro leggi ispirandosi al GDPR, alla cultura europea della protezione del dato personale e alla capacità di trarne valore senza violare diritti e libertà degli individui. Adeguarsi al GDPR significa voler orientare il proprio sistema giuridico a una logica più democratica, significa affermare un proprio ruolo specifico sullo scacchiere geopolitico internazionale.
Ai sensi dell’articolo 45, paragrafo 3, del GDPR la Commissione europea può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello adeguato in materia di protezione dei dati personali. In tali circostanze i trasferimenti di dati personali verso un paese terzo possono aver luogo senza ulteriori autorizzazioni, come stabilito dall’articolo 45, paragrafo 1, e dal considerando 103 del GDPR.
L’adozione della cosiddetta “decisione di adeguatezza” deve basarsi su un’analisi completa del sistema giuridico del paese terzo, per quanto riguarda sia le norme applicabili agli importatori di dati sia le limitazioni e le garanzie relative all’accesso ai dati personali da parte delle autorità pubbliche. La valutazione deve determinare se il paese terzo garantisce un livello di protezione “sostanzialmente equivalente” a quello assicurato all’interno dell’Unione, come chiarito dal Considerando 104 del GDPR.
È il caso del Giappone e della sua Legge sulla Protezione delle Informazioni Personali, recentemente modificata con i “2020 Amendments”.
La Legge sulla Protezione delle Informazioni Personali in Giappone
Il 19 marzo del 2019, la Commissione europea, dopo un attento esame delle leggi e delle pratiche applicate, dichiara che il Giappone “assicura un livello adeguato di protezione dei dati personali”. [1]
Il sistema giuridico che disciplina la protezione dei dati e della vita privata in Giappone ha le sue radici nella costituzione promulgata nel 1946.
L’articolo 13 della costituzione recita: “Tutte le persone sono rispettate come individui. Il loro diritto alla vita, alla libertà e al perseguimento della felicità, purché non interferisca con il benessere pubblico, gode della più alta considerazione nella legislazione e nelle altre attività pubbliche”.
Nel 1969, la Corte suprema giapponese ha affermato che “ogni persona fisica ha la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione”, e che, nel 2008, “la libertà dei cittadini nella vita privata è protetta contro l’esercizio del potere pubblico e si può considerare che ogni persona fisica abbia, tra le libertà della persona nella vita privata, la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione” [2]
Per disciplinare la materia della protezione dei dati personali, il 30 maggio 2003 il Giappone ha adottato tre leggi cardine:
- la Legge sulla Protezione delle Informazioni Personali (APPI);
- la Legge sulla Protezione delle Informazioni Personali detenute da Organi Amministrativi (APPIHAO);
- la Legge sulla Protezione delle Informazioni Personali detenute da Agenzie Amministrative Registrate (APPI-IAA).
La APPI e i “2020 Amendments”
La APPI è stata già modificata il 9 settembre 2015 ed è entrata in vigore il 30 maggio 2017, ma recentemente la normativa ha subìto un’ulteriore modifica, i cosiddetti “2020 Amendments” (gli “emendamenti del 2020”), che entreranno in vigore il 1 ° aprile 2022 e che certamente trasformeranno i modi in cui le aziende conducono affari in o con il Giappone. A grandi linee i 2020 Amendments:
- ampliano notevolmente i diritti degli interessati, materia già meglio delineata nella versione 30 maggio 2017;
- eliminano le precedenti restrizioni sull’applicazione extraterritoriale della APPI;
- aumentano notevolmente gli obblighi di trasparenza da parte delle società in relazione ai trasferimenti di dati all’estero;
- introducono categorie di informazioni personali precedentemente non regolamentate, come le “informazioni trattate in forma pseudonimizzata”;
- introducono, per la prima volta, della qualificazione di data breach.
I 2020 Amendments saranno applicati dalla Commissione Giapponese per la Protezione delle Informazioni Personali (la “PPC”), in conformità alle recenti Linee guida del PPC e ad altre due norme, entrambe pubblicate il 24 marzo 2021, (tradotte letteralmente dal giapponese, gli “Emendamenti PPC modificati” e l’”Ordine di Gabinetto modificato”): l’equivalente delle leggi di adeguamento in Italia.
I trasferimenti fuori dal Giappone
Ad oggi, la portata extraterritoriale della APPI è stata limitata a una manciata di articoli, principalmente quelli che disciplinano la limitazione delle finalità e l’acquisizione legittima di informazioni personali (“PI”), – sostanzialmente l’equivalente dei nostri dati personali così come definiti dall’art. 4 par. (1) del GDPR – da parte di operatori esteri. Tuttavia, dalla sua entrata in vigore, l’articolo 75 dell’APPI modificato vincolerà, senza eccezioni, tutte le entità estere del settore privato, indipendentemente dalle loro dimensioni, che elaborino PI, PI “pseudonimizzate” o “PI anonime” in relazione alla fornitura di beni o servizi.
Per quanto riguarda i trasferimenti internazionali, la legislazione vigente ricorda molto il GDPR.
L’articolo 24 vieta il trasferimento di PI a una “terza parte” al di fuori del Giappone in assenza del previo consenso dell’interessato, a meno che
- il paese destinatario non sia stato inserito nella lista bianca dalla PPC, l’equivalente della lista dei Paesi dichiarati “adeguati” dalla Commissione Europea;
- il terzo destinatario garantisce contrattualmente standard di protezione dei dati equivalenti all’APPI, l’equivalente delle Standard Contractual Clauses europee, sebbene non siano state fornite clausole standard da adottare.
Per quanto riguarda la richiesta del consenso, l’art. 24 par. 2 dei 2020 Amendments richiede che l’Operatore trasferente, l’equivalente dell’europeo Data exporter, dovrà fornire, prima di eseguire il trasferimento, le seguenti informazioni all’interessato:
- il Paese dove le PI saranno trasferite;
- i livelli di protezione delle PI che fornisce il Paese destinatario (valutati utilizzando un “metodo appropriato e ragionevole”);
- la parte ricevente, l’equivalente del Data importer;
In assenza di tali informazioni, il consenso non sarà considerato informato e il trasferimento non sarà valido.
Inoltre, al pari di quanto dichiarato recentemente anche dall’European Data Protection Board in merito ai trasferimenti all’estero, l’art. 24 par. 3 dei 2020 Amendments, stabilisce che, oltre a stipulare con il Data Importer clausole standard per la protezione delle PI, l’Operatore deve:
- intraprendere “le azioni necessarie per garantire la continua attuazione” degli obblighi imposti, ossia:
- Controllare periodicamente lo stato di attuazione delle misure impartite;
- Valutare l’impatto con il “metodo appropriato e ragionevole” (l’equivalente del nostro Data Protection Transfer Assessment);
- Intraprendere azioni necessarie per rimediare a qualsiasi ostacolo;
- Sospendere tutti i trasferimenti di PI qualora l’applicazione delle misure dovesse risultare difficile;
- informare l’interessato, senza ritardo, sulle azioni messe in campo. Oltre le informazioni previste all’art. 24 par. 2 dei 2020 Amendments, nello specifico:
- dettagliare le misure che sono state stabilite e il modo in cui saranno attuate;
- la frequenza della verifica dell’implementazioni di tali misure al destinatario, (l’equivalente di un audit);
- Se eventuali leggi straniere possono influire sull’applicazione delle misure.
Tale obbligo di informativa è derogato qualora fornire queste informazioni possa “ostacolare in modo significativo” le operazioni commerciali dell’Operatore. Altra disposizione che ricorda il GDPR.
Protezione delle Informazioni Personali: la notifica di data breach
La APPI, all’art. 22 dei 2020 Amendments, oltre a espandere i tipi di incidenti di sicurezza, introduce l’obbligo di notifica delle violazioni delle PI, l’equivalente del nostro Data breach.
Al pari del GDPR, in caso di una violazione che presenti un rischio elevato per i diritti degli interessati, l’Operatore deve notificare tale violazione sia al PPC che agli interessati coinvolti. Tuttavia, l’APPI specifica:
- che non sussiste l’obbligo di notifica qualora l’Operatore abbia implementato “misure necessarie” per salvaguardare i diritti degli interessati,
- che l’Operatore può avvisare l’eventuale Operatore “affidante”, l’equivalente del nostro Responsabile del trattamento art. 28 del GPDR, impartendogli tali misure;
- gli elementi che deve presentare una violazione per essere notificata. Nello specifico, la violazione deve coinvolgere dati sensibili o deve causare danni finanziari agli interessati o coinvolgere più di 1.000 soggetti.
La notifica deve contenere le seguenti informazioni:
- panoramica della violazione;
- tipi di PI interessate;
- numero degli interessati coinvolti;
- causa della violazione;
- danno potenziale aspettato;
- come la violazione è stata comunicata agli interessati;
- eventuali questioni aggiuntevi da dichiarare.
In caso di violazione, l’articolo 30, paragrafo 5 dei 2020 Amendments, conferisce inoltre agli interessati il diritto di richiedere la cancellazione, la sospensione dell’uso e la sospensione del trasferimento delle PI.
Le “informazioni trattate in forma pseudonimizzata” e le “informazioni riferibili personalmente”
Un’altra importante novità apportata dai 2020 Amendments è l’introduzione delle “informazioni trattate in forma pseudonimizzata”.
Attualmente, in contrasto con il GDPR, il metodo per rendere le PI elaborate in forma anonima non deve essere tecnicamente irreversibile. Tale specifica assorbe di fatto l’equivalente del dato pseudonimizzato come definito dal GDPR.
I 2020 Amendments introducono il concetto che le informazioni trattate in forma pseudonimizzata sono da trattare alla stregua delle PI. L’equivalente della nostra pseudonimizzazione è intesa come misura di sicurezza.
In una concezione a metà strada dai nostri dati pseudonimizzati e i cookie, i 2020 Amendments introducono inoltre le “informazioni riferibili personalmente” ovvero PI che non potrebbero essere riconducibili direttamente ad un interessato ma che, se trasferite ad un terzo soggetto, porterebbero alla sua diretta identificazione.
Il Contesto politico del Giappone: il caso della App Line
I 2020 Amendments si inseriscono in un quadro socio-economico complesso, destrutturato dal recente incidente che vede coinvolta la nota società Line, con sede in Giappone.
L’omonima App di messaggistica, utilizzata da circa 86 milioni di cittadini, stava trasferendo dati personali degli utenti, ID e numeri di telefono, a un’affiliata cinese.
Non è insolito per le aziende tecnologiche giapponesi affidare all’esterno alcune delle loro operazioni, incluso il trattamento dei dati personali, ma per i cittadini giapponesi, la questione Line è diversa per una serie di ragioni importanti, non ultima la consapevolezza della popolazione giapponese degli ampi diritti di accesso del governo cinese ai dati personali gestiti da società del settore privato in Cina, ai sensi della National Intelligence cinese.
Line non è solo l’applicazione di messaggistica più utilizzata in Giappone; occupa anche un posto speciale nella coscienza storica e culturale del paese. Nel 2011, Line ha supportato le comunicazioni d’emergenza quando il terremoto ha ritardato gli scambi di e-mail. Gli enti governativi a livello nazionale e municipale utilizzano Line per comunicazioni ufficiali, comprese le informazioni personali sensibili come per l’indagine sui dati sanitari COVID-19.
Il 31 marzo 2021, il PPC ha avviato un’indagine ufficiale su Line e sulla sua società madre, Z Holdings, sulla loro gestione delle informazioni personali. Fino a quando tale indagine non sarà conclusa, rimarrà incerto se e in quale misura Line abbia violato la APPI (e in particolare, le sue disposizioni in materia di accesso di terzi e trasferimenti internazionali), indipendentemente da ciò, l’impatto di questo evento ha scosso la percezione che i giapponesi avevano sulla propria privacy. Politici di rilievo hanno chiesto hanno chiesto al PPC una forte azione nei confronti di Line, una valutazione del rischio e più in generale maggiore rigore alle società in Giappone su tutti i trasferimenti di dati personali verso la Cina.
Diversi giorni dopo, la PPC ha chiesto ai membri sia alla Japan Business Federation, (composta da 1.444 società) e alla Japan Association of New Economy (composta da 534 aziende) di riferire le loro pratiche di trasferimento dei dati che coinvolgono la Cina e per dettagliare le misure di protezione della privacy in atto in relazione a tali trasferimenti. Qualora fossero rilevate violazioni alla APPI, la PPC emetterà una raccomandazione potenzialmente seguita da un provvedimento ingiuntivo di carattere penale.
Note
- Corte suprema, sentenza del 6 marzo 2008, Minshu vol. 62 n. 3, pag. 665. ↑