La legge Giapponese sulla protezione dei dati personali (APPI – Act on the Protection of Personal Information), dal 30 maggio 2017 in vigore con gli emendamenti del dicembre 2016, consente di trasferire i dati dal Giappone vero paesi terzi solo se si accerta che la giurisdizione ricevente offre un livello “adeguato” di protezione dei dati.
L’importanza e la portata del GDPR la si può comprendere anche dal fatto che l’Unione Europea è l’unica giurisdizione che è coinvolta con il Giappone in colloqui di adeguatezza e che il Giappone non ha intenzione di aprire ulteriori colloqui con altre giurisdizioni, quindi nemmeno con gli USA.
Il Giappone non ha nemmeno in programma di emanare una generale dichiarazione che possa asserire che gli USA sono un paese che fornisce una protezione adeguata dei dati; per questo motivo le società che vorranno traferire dati dal Giappone verso gli Stati Uniti lo dovranno fare utilizzando le norme transfrontaliere in materia di privacy elaborate dalla Cooperazione Economica Asia-Pacifico (APEC).
Questo è possibile perchè dal 2012 gli Stati Uniti, primo tra i paesi non asiatici, aderiscono all’ Asia-Pacific Economic Cooperation (APEC) Cross-Border Privacy Rules (“CBPR”) System (http://www.cbprs.org/). Questo consente quindi alle aziende di conformarsi volontariamente al sistema CBPR e di poter effettuare trasferimenti transfrontalieri di dati con gli Stati membri dell’ APEC, senza necessità di avere ulteriori restrizioni o garanzie sulla protezione e sulla privacy dei dati trasferiti.
Il sistema CBPR è caratterizzato da quattro elementi1:
- autovalutazione;
- verifica di conformità;
- riconoscimento / accettazione;
- risoluzione e applicazione delle controversie.
L’ APEC Privacy Framework è formalmente riconosciuto in Canada, Giappone, Messico, Corea del Sud e Stati Uniti e potrebbe essere adottato in tutte le 21 economie membre dell’APEC.
Le aziende che non agiscono sulla base di un consenso esplicito quando trasferiscono i dati dal Giappone, o senza la certificazione CBPR, saranno soggette all’azione esecutiva dell’ufficio per la privacy del Giappone (Personal Information Protection Commission, Japan) qualora la PPC ricevesse reclami inerenti a tali trattamenti.
Il Regolamento (UE) 2016/679 (GDPR), che è stato anche base legislativa ispiratrice per molti altri paesi, è ciò che, in relazione alla questione sul trasferimento transfrontaliero con il Giappone, ha permesso di porre UE e US su due piani differenti. Infatti sono in corso trattative tra UE e Giappone sull’adeguatezza, mentre invece il Giappone non ha intenzione di avviare questo tipo di trattative con gli Stati Uniti.
Giappone e UE sono impegnati dal mese di luglio nei colloqui per riconoscere reciprocamente l’adeguatezza dei rispettivi regimi di riservatezza e protezione dei dati personali. L’APPI del Giappone risulta per molti aspetti modellato sul Regolamento Generale sulla Protezione dei Dati (GDPR), che sarà pienamente applicato dal maggio 2018.
L’obiettivo delle due delegazioni è quello di arrivare a concordare in linea di principio il riconoscimento reciproco di adeguatezza entro il 2018
Note