¿Cuáles son los puntos a tener en cuenta al crear una política de privacidad basada en la 'Ley Japonesa de Protección de Información Personal'?
En los últimos tiempos, el interés social en la protección de la información personal ha aumentado. Se puede decir que casi no existen empresas que no manejen información personal, por lo que el manejo de esta información es un problema muy cercano para muchas empresas e individuos. Se cree que muchas empresas que tienen un sitio web publican una política de privacidad en su sitio. La política de privacidad es una publicación de las directrices para el manejo de la información personal en la empresa, de acuerdo con la Ley de Protección de la Información Personal japonesa. Para formular adecuadamente una política de privacidad, es esencial entender la Ley de Protección de la Información Personal japonesa. Por lo tanto, explicaremos los puntos a tener en cuenta al crear una política de privacidad. Cabe mencionar que la Ley de Protección de la Información Personal japonesa fue modificada en 2015 y la ley revisada entró en vigor el 30 de mayo de 2017 (año 2017 del calendario gregoriano). En particular, hubo una enmienda importante con respecto a la provisión de información personal a terceros, por lo que también explicaremos este punto. Para obtener más detalles sobre la enmienda a la Ley de Protección de la Información Personal japonesa, consulte el artículo a continuación.
¿Qué es la Política de Privacidad?
La mayoría de los sitios web de las empresas tienen una Política de Privacidad. A veces se llama “Política de Protección de Información Personal”, pero básicamente son lo mismo. La Política de Privacidad muestra la actitud básica del operador del negocio hacia el manejo de la información personal y también sirve para mostrar los asuntos que se requieren para ser publicados bajo la Ley Japonesa de Protección de Información Personal. Por lo tanto, es esencial que cubra al menos los siguientes asuntos que se requieren para ser publicados bajo la Ley Japonesa de Protección de Información Personal.
- El propósito del uso de la información personal
- El nombre o denominación del operador del negocio que maneja la información personal
- Procedimientos para responder a solicitudes de notificación del propósito del uso, divulgación, corrección, cese de uso, etc., de la persona en cuestión
- El lugar para presentar quejas
Además, en casos como el uso conjunto de información personal dentro de las empresas del grupo, conocido como uso compartido, y el manejo de la información procesada de forma anónima, que se explicará más adelante, hay asuntos que se requieren para ser publicados para cada operación específica establecida por la ley.
Empresas que deben crear una Política de Privacidad
Antes de la reforma de la ley implementada en 2017 (Año 29 de Heisei), la Ley de Protección de Información Personal japonesa solo se aplicaba a las empresas que poseían más de 5000 registros de información personal. Por lo tanto, había un número considerable de pequeñas empresas y empresas que se centraban principalmente en negocios BtoB que no necesitaban crear una Política de Privacidad. Sin embargo, con la reforma de la ley implementada en 2017, la Ley de Protección de Información Personal japonesa se aplica a todas las empresas, independientemente del número de registros de información personal que posean. Como resultado, se espera que todas las empresas creen una Política de Privacidad. Cabe mencionar que, incluso si no se ha creado una Política de Privacidad, se puede sustituir notificando al individuo cada vez que se recopila información personal, sobre el propósito del uso y otros asuntos que la Ley de Protección de Información Personal japonesa requiere que se publiquen. Sin embargo, esto puede ser tedioso, por lo que normalmente se crea una Política de Privacidad.
Puntos a tener en cuenta en la Política de Privacidad
Definición de Información Personal
Artículo X
La información personal se refiere a la información sobre un individuo vivo que puede identificar a una persona específica a través de su nombre, fecha de nacimiento y otras descripciones contenidas en dicha información (incluyendo información que puede ser fácilmente comparada con otra información, permitiendo la identificación de una persona específica).
Para la definición de información personal, es suficiente describirlo como se establece en la Ley de Protección de Información Personal Japonesa. Típicamente, esta es información como el nombre y la fecha de nacimiento, como se muestra en el ejemplo de la cláusula, pero también puede incluir edad, género, dirección, número de teléfono, composición familiar, hobbies, gustos, dirección de correo electrónico, DNI, dirección IP y sello de tiempo, lugar de trabajo, afiliación, dirección del lugar de trabajo, número de teléfono del lugar de trabajo, número de tarjeta de crédito, número de cuenta bancaria, información de la página web visitada, quejas, consultas o información de contacto. Por lo tanto, puede ser una buena idea incluir de antemano en la definición de información personal en la política de privacidad la información que es más probable que se obtenga de sus propios clientes y otros.
Objetivo del uso de la información personal
Artículo X
1. Nuestra empresa utilizará la información personal obtenida para los siguientes propósitos. Sin embargo, si se establece un propósito de uso de la información personal dentro del sitio web operado por nuestra empresa, se dará prioridad a la descripción de dicho propósito de uso.
(1) Para que nuestra empresa pueda responder a las consultas recibidas a través del formulario de contacto
(2) Para proporcionar y presentar los servicios web, aplicaciones y otros servicios (en adelante, “este servicio”) proporcionados por nuestra empresa
(3) Para mejorar este servicio y desarrollar nuevos servicios
(4) Para otros fines relacionados con los anteriores
2. Además de los propósitos establecidos en el párrafo anterior, nuestra empresa puede recopilar y utilizar la información personal obtenida de los clientes como información estadística en una forma y alcance que no permita la identificación o especificación de individuos.
Objetivo de uso
Según la Ley de Protección de la Información Personal japonesa, se requiere que se publique el propósito del uso de la información personal obtenida. El párrafo 1 del ejemplo de cláusula anterior corresponde a esto. Lo importante en la definición del propósito del uso es que no es suficiente con una descripción abstracta y general, sino que es necesario describir de manera concreta hasta qué punto la persona puede entender cómo se utilizará su información personal. Por lo tanto, es importante tener en cuenta que el contenido de la descripción del propósito del uso puede variar dependiendo del operador que crea la política de privacidad. Además, si hay omisiones en la descripción, no podrá utilizar la información personal para ese propósito, así que asegúrese de revisar cuidadosamente si hay omisiones.
Información procesada de forma anónima
El párrafo 2 del ejemplo de cláusula se refiere a la regulación de la información procesada de forma anónima. La información procesada de forma anónima es información que ha sido procesada para que la información personal no pueda ser identificada por el individuo y no pueda ser restaurada. Se supone que es para el uso efectivo de los llamados big data.
Si maneja información procesada de forma anónima, debe publicar los elementos de la información personal contenida en la información procesada de forma anónima en la política de privacidad, etc. El párrafo 2 del ejemplo de cláusula establece que se utilizará la información personal descrita en la “definición de información personal” como información procesada de forma anónima. Además, si proporciona información procesada de forma anónima a terceros, también necesitará publicar el método de provisión.
Uso de Información Personal Fuera del Propósito Estipulado
Artículo X
Nuestra empresa manejará la información personal obtenida dentro del alcance necesario para lograr el propósito de uso establecido en el artículo anterior. En caso de que se maneje información personal fuera del alcance del propósito de uso, se obtendrá el consentimiento del cliente de antemano. Sin embargo, esto no se aplica en los siguientes casos:
(1) Cuando se basa en leyes y regulaciones
(2) Cuando es necesario para proteger la vida, el cuerpo o la propiedad de una persona y es difícil obtener el consentimiento del cliente
(3) Cuando es especialmente necesario para mejorar la salud pública o promover el desarrollo saludable de los niños y es difícil obtener el consentimiento del cliente
(4) Cuando es necesario cooperar con una institución nacional o una entidad pública local o una persona que ha recibido su delegación para llevar a cabo los asuntos estipulados por la ley, y obtener el consentimiento del cliente podría obstaculizar la ejecución de dichos asuntos
En principio, no se puede utilizar la información personal fuera del alcance del propósito de uso. Sin embargo, en la Ley de Protección de Información Personal, se permite el uso fuera del propósito en los casos correspondientes a los números (1) a (4) mencionados en el ejemplo de la cláusula anterior.
Los números (2) y (3) son casos en los que es difícil obtener un consentimiento rápido del individuo, aunque hay una alta demanda de uso de la información personal. Además, los números (1) y (4) son usos de información personal basados en la intención de gobiernos nacionales o entidades públicas locales, etc. Por ejemplo, esto podría aplicarse a investigaciones criminales. Esta cláusula sobre el uso fuera del propósito es casi estándar para todas las empresas, y no cambia mucho dependiendo del tipo de negocio.
Provisión de información personal a terceros
Artículo X
Nuestra empresa no proporcionará la información personal de nuestros clientes a terceros sin el consentimiento del cliente en cuestión, como regla general. Excepcionalmente, proporcionaremos información a terceros solo si hemos identificado a quién y qué se proporcionará y hemos obtenido el consentimiento del cliente. Sin embargo, esto no se aplica en los siguientes casos:
(1) Cuando sea requerido por la ley
(2) Cuando sea necesario para proteger la vida, el cuerpo o la propiedad de una persona y sea difícil obtener el consentimiento del cliente
(3) Cuando sea especialmente necesario para mejorar la salud pública o promover el desarrollo saludable de los niños y sea difícil obtener el consentimiento del cliente
(4) Cuando sea necesario cooperar con una institución nacional o una entidad pública local o una persona que ha recibido su delegación para llevar a cabo los asuntos prescritos por la ley, y obtener el consentimiento del cliente podría obstaculizar la ejecución de los asuntos
(5) Cuando sea necesario proporcionar información personal a un contratista que ha firmado un contrato de confidencialidad con nuestra empresa para el propósito de uso
Excepciones a la provisión de información personal a terceros
Esta cláusula se refiere a situaciones en las que un operador proporciona información personal que ha obtenido a un tercero. Según la Ley de Protección de Información Personal de Japón, es necesario obtener el consentimiento del individuo antes de proporcionar su información personal a un tercero. Sin embargo, se ha legislado que se puede proporcionar información personal a un tercero sin el consentimiento del individuo en los casos estipulados en los subpárrafos (1) a (5). Por lo tanto, al igual que la cláusula sobre el uso de información personal para fines no previstos, la cláusula sobre la provisión a terceros también se ha convertido en una cláusula estándar para la mayoría de las empresas. En la práctica, el subpárrafo (5), que se refiere a la provisión de información personal a un contratista, es el que se utiliza con más frecuencia. Sin embargo, incluso si se ha subcontratado el trabajo, el operador que obtuvo la información personal tiene la responsabilidad de supervisar al contratista. Por lo tanto, es importante tener en cuenta que si la información personal se filtra desde el contratista, el operador que subcontrató el trabajo también puede ser considerado responsable. Por lo tanto, la selección del contratista y la supervisión después de la subcontratación deben realizarse con cuidado.
La dificultad de optar por no participar debido a la reforma de la ley
Antes de la enmienda a la Ley de Protección de Información Personal que entró en vigor en 2017, se permitía proporcionar información personal a terceros sin obtener el consentimiento previo del individuo, siempre que se “detuviera la provisión de información personal a terceros a petición del individuo”. Esto se conoce como optar por no participar. Sin embargo, la enmienda a la ley que entró en vigor en 2017 ha endurecido las reglas, haciendo que sea imposible proporcionar información personal a terceros mediante la opción de no participar a menos que se notifique previamente a la Comisión de Protección de Información Personal.
Es posible que piense que todo lo que tiene que hacer es notificar a la Comisión de Protección de Información Personal, pero este sistema de notificación está destinado principalmente a operadores que tratan la información personal en sí misma como un producto, como los operadores de listas de correo, y los notificadores están sujetos a publicación, por lo que aún no hay muchas empresas que hayan notificado. Por lo tanto, en la práctica, la provisión de información personal a terceros sin el consentimiento del individuo se ha vuelto difícil, excepto en casos permitidos como excepciones, como la subcontratación.
Divulgación, corrección, etc. de información personal
En la Ley de Protección de Información Personal japonesa, también se requiere que se publiquen los procedimientos para responder a las solicitudes de notificación del propósito de uso, divulgación, corrección, cese de uso, etc. por parte del individuo. Por lo tanto, cuando se crea una política de privacidad, también es necesario establecer estas cuestiones. Sin embargo, las cláusulas que establecen estos asuntos se han convertido en un lenguaje estándar en muchas empresas. Un punto a considerar es si se debe establecer una tarifa por responder a las solicitudes de divulgación, etc. por parte del individuo. Establecer una tarifa adecuada puede ser una forma de prevenir retrasos en las operaciones debido a solicitudes abusivas. Si se requiere una tarifa, es importante tener en cuenta que es necesario establecer su contenido dentro de la política de privacidad.
Resumen
En relación con la protección de la información personal, la regulación legal tiende a endurecerse poco a poco en respuesta al creciente interés social. Por supuesto, es necesario gestionar la información de manera segura dentro de la empresa para evitar la filtración de información personal, pero al mismo tiempo, es importante establecer políticas de privacidad y reglamentos internos de acuerdo con la regulación legal. Se espera que la Ley Japonesa de Protección de Información Personal se modifique regularmente cada tres años en el futuro. Cada vez que las reglas sobre el manejo de la información personal cambian, puede ser necesario no solo cambiar el sistema interno de la empresa, sino también revisar el método de negocio en sí. En este sentido, la Ley Japonesa de Protección de Información Personal puede considerarse una ley que afecta a la esencia del negocio, por lo que es especialmente importante para los operadores que manejan mucha información personal mantenerse al tanto de las tendencias de modificación.
Información sobre la creación y revisión de contratos por nuestra firma
En el despacho de abogados Monolith, como una firma de abogados especializada en TI, Internet y negocios, ofrecemos servicios como la creación y revisión de varios contratos, además de políticas de privacidad, a nuestras empresas clientes y asesoradas.