Trasferimenti transfrontalieri di dati. Giappone-UE versus Giappone-USA

By | 2 novembre 2017

La legge Giapponese sulla protezione dei dati personali (APPI – Act on the Protection of Personal Information), dal 30 maggio 2017 in vigore con gli emendamenti del dicembre 2016, consente di trasferire i dati dal Giappone vero paesi terzi solo se si accerta che la giurisdizione ricevente offre un livello “adeguato” di protezione dei dati.

L’importanza e la portata del GDPR la si può comprendere anche dal fatto che l’Unione Europea è l’unica giurisdizione che è coinvolta con il Giappone in colloqui di adeguatezza e che il Giappone non ha intenzione di aprire ulteriori colloqui con altre giurisdizioni, quindi nemmeno con gli USA.

Il Giappone non ha nemmeno in programma di emanare una generale dichiarazione che possa asserire che gli USA sono un paese che fornisce una protezione adeguata dei dati; per questo motivo le società che vorranno traferire dati dal Giappone verso gli Stati Uniti lo dovranno fare utilizzando le norme transfrontaliere in materia di privacy elaborate dalla Cooperazione Economica Asia-Pacifico (APEC).

Questo è possibile perchè dal 2012 gli Stati Uniti, primo tra i paesi non asiatici, aderiscono all’ Asia-Pacific Economic Cooperation (APEC) Cross-Border Privacy Rules (“CBPR”) System (http://www.cbprs.org/). Questo consente quindi alle aziende di conformarsi volontariamente al sistema CBPR e di poter effettuare trasferimenti transfrontalieri di dati con gli Stati membri dell’ APEC, senza necessità di avere ulteriori restrizioni o garanzie sulla protezione e sulla privacy dei dati trasferiti.

Il sistema CBPR è caratterizzato da quattro elementi1:

  1. autovalutazione;
  2. verifica di conformità;
  3. riconoscimento / accettazione;
  4. risoluzione e applicazione delle controversie.

L’ APEC Privacy Framework è formalmente riconosciuto in Canada, Giappone, Messico, Corea del Sud e Stati Uniti e potrebbe essere adottato in tutte le 21 economie membre dell’APEC.

Le aziende che non agiscono sulla base di un consenso esplicito quando trasferiscono i dati dal Giappone, o senza la certificazione CBPR, saranno soggette all’azione esecutiva dell’ufficio per la privacy del Giappone (Personal Information Protection Commission, Japan) qualora la PPC ricevesse reclami inerenti a tali trattamenti.

Il Regolamento (UE) 2016/679 (GDPR), che è stato anche base legislativa ispiratrice per molti altri paesi, è ciò che, in relazione alla questione sul trasferimento transfrontaliero con il Giappone, ha permesso di porre UE e US su due piani differenti. Infatti sono in corso trattative tra UE e Giappone sull’adeguatezza, mentre invece il Giappone non ha intenzione di avviare questo tipo di trattative con gli Stati Uniti.

Giappone e UE sono impegnati dal mese di luglio nei colloqui per riconoscere reciprocamente l’adeguatezza dei rispettivi regimi di riservatezza e protezione dei dati personali. L’APPI del Giappone risulta per molti aspetti modellato sul Regolamento Generale sulla Protezione dei Dati (GDPR), che sarà pienamente applicato dal maggio 2018.

L’obiettivo delle due delegazioni è quello di arrivare a concordare in linea di principio il riconoscimento reciproco di adeguatezza entro il 2018

 

 Note

  1. http://apec.org/Home/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/CBPR/CBPR-PoliciesRulesGuidelines.ashx
Share with...Tweet about this on TwitterShare on LinkedInShare on Google+Share on Facebook
Category: Legal framework Open Forum Tag:, , , , , , , ,

About Stefano Tresoldi

Degree in Administrative Science at UNITO Law Department, with more than 20 years as consultant in IT field. Since 2011 to 2015 consultant for regulatory-driven transformation projects related to "Online Civil Trial" (PCT), included privacy and security compliance. 2014-2015 Consultant for an innovative digital project on the new juridical regulation for "Messa alla prova" (L. 67 del 28.04.14) and for "Volonatria Giurisdizione". Stefano founded in 1995 the company STL an IT computer science consulting company. As owner, the prime occupation was company management and new business discovering, public relations, and partnership building; but in more than 20 years at STL he worked and acquired many interdisciplinary skills in many matters: stakeholder management and stakeholder engagement, leadership, strategic thinking, problem solving, decision making, public speech and presentations. Since 2002 he work as consultant.

Lascia un commento