Entrou no dia 23 de janeiro em vigor a decisão de adequação da Comissão Europeia, que permite justificar a transferência de dados pessoais do Espaço Económico Europeu (EEE) para o Japão.
Os fluxos transfronteiriços de dados pessoais, isto é, para países fora do EEE (países terceiros) são regulados pelo Regulamento Geral de Proteção de Dados (RGPD). O RGPD prevê, entre outras medidas, que pode ser realizada uma transferência de dados pessoais para um país terceiro se a Comissão tiver decidido que o país terceiro assegura um nível de proteção adequado. Nesses casos, a transferência não exigirá uma autorização específica.
O critério de adequação, subjacente a uma decisão, não exige que o sistema de proteção de dados do país terceiro seja idêntico ao da União Europeia (UE). O objetivo não é imitar ponto por ponto a legislação europeia, mas sim estabelecer um «standard de equivalência essencial», o que pressupõe uma prévia avaliação global do sistema de proteção de dados pessoais do país terceiro, em particular ao nível das garantias de proteção aplicáveis e mecanismos de supervisão e reparação disponíveis.
Embora a UE já tenha decisões de adequação unilaterais com vários outros países, nomeadamente, com Andorra, Argentina, Canadá, Estados Unidos (Escudo de Proteção de Privacidade UE-EUA), Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai, esta é a primeira vez que a UE e um país terceiro acordam em reconhecer um nível de proteção adequado recíproco. É também a primeira vez, desde a aplicação do RGPD, que é adotada uma decisão de adequação.
Do lado da UE, a adequação foi decidida com base num conjunto de salvaguardas adicionais que o Japão se comprometeu a aplicar aos dados de cidadãos europeus, por exemplo, a definição japonesa de «dados sensíveis» será alargada, o exercício dos direitos dos titulares dos dados será simplificado e uma posterior transferência de dados de cidadãos europeus do Japão para outro país terceiro ficará sujeita a um nível de proteção mais elevado. O Japão também adotará um mecanismo de tratamento das reclamações dos cidadãos europeus em matéria de acesso aos seus dados pelas autoridades públicas japonesas e que será supervisionado pela autoridade independente japonesa de proteção de dados.
Embora as decisões de adequação não tenham um prazo de vigência, estão periodicamente sujeitas a revisão pela Comissão. A primeira revisão desta decisão deverá ser feita ao final de dois anos e, depois, pelo menos, de quatro em quatro anos.
A decisão de adequação EU-Japão vem permitir desenvolver o maior espaço de circulação segura de dados à escala mundial, complementando o Acordo de Parceria Económica UE-Japão, que entrará em vigor em fevereiro de 2019.