MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Qué hacer si ocurre una filtración de información personal? Explicación de las medidas administrativas que las empresas deben tomar

General Corporate

¿Qué hacer si ocurre una filtración de información personal? Explicación de las medidas administrativas que las empresas deben tomar

Con el desarrollo de Internet y la posibilidad de intercambiar información en línea, ha habido un aumento en los casos en los que la información crucial de las empresas se filtra de manera inesperada.

En los últimos años, el valor de la información ha aumentado, y si ocurre una fuga de información, puede convertirse en un gran problema que daña la reputación de la empresa. Se espera que las empresas respondan de manera rápida y adecuada en caso de una fuga de información.

En este artículo, explicaremos en detalle las medidas que las empresas deben tomar en caso de una fuga de información, centrándonos principalmente en la respuesta administrativa.

También se requiere una respuesta administrativa en caso de filtración de información

Se requiere una respuesta administrativa en caso de filtración de información

Aunque se hable de filtración de información, el contenido de la información y su importancia varían. Se requiere una respuesta administrativa cuando se filtra información personal.

La definición de información personal se establece en el Artículo 2, Párrafo 1 de la Ley de Protección de Información Personal de Japón (en adelante, “Ley de Protección de Información Personal”).

(Definición)
Artículo 2 En esta ley, “información personal” se refiere a la información sobre un individuo vivo que cumple con cualquiera de los siguientes requisitos:
1. Información que puede identificar a un individuo específico por el nombre, fecha de nacimiento y otros datos contenidos en la información (todos los asuntos expresados por voz, acciones u otros métodos, excluyendo códigos de identificación personal, que están escritos o registrados en documentos, dibujos o registros electromagnéticos (registros creados por medios electromagnéticos (medios electrónicos, medios magnéticos y otros medios que no pueden ser reconocidos por la percepción humana. Lo mismo se aplica en el siguiente párrafo, ítem 2.) Lo mismo se aplica a continuación.) (Incluye información que puede identificar a un individuo específico al ser fácilmente comparada con otra información.)
2. Información que contiene un código de identificación personal

e-GOV|Ley de Protección de Información Personal[ja]

La información que cumple con la definición anterior se protege como información personal bajo la Ley de Protección de Información Personal.

Además, en caso de una filtración de información, la empresa puede necesitar tomar medidas además de la respuesta administrativa, como la divulgación de información.

Obligación de informar sobre la filtración de información personal

Los operadores de negocios que manejan información personal tienen la obligación de informar a la Comisión de Protección de Información Personal (Comisión de Protección de Datos Personales de Japón) cuando se produce una situación de filtración de información personal o cuando existe el riesgo de que esto ocurra.

Cabe destacar que, antes del 1 de abril del año 2022 (Reiwa 4), la obligación de informar a la Comisión de Protección de Información Personal en caso de una filtración o riesgo de filtración no era obligatoria, sino que se consideraba un esfuerzo. Sin embargo, con la modificación de la Ley de Protección de Información Personal, a partir del 1 de abril de 2022 (Reiwa 4), se ha convertido en una obligación informar a la Comisión de Protección de Información Personal.

El término “operador de negocios que maneja información personal” se refiere a aquellos que utilizan bases de datos de información personal, etc., para sus negocios (Artículo 16, párrafo 2 de la Ley de Protección de Información Personal de Japón). Sin embargo, las instituciones gubernamentales, las entidades públicas locales, las corporaciones administrativas independientes, etc., no están incluidas como operadores de negocios que manejan información personal.

“Bases de datos de información personal, etc.” se refiere a conjuntos de información que contienen información personal y que cumplen con uno de los siguientes dos requisitos, excluyendo aquellos que se consideran poco probables de infringir los derechos e intereses de las personas debido a su método de uso, según lo estipulado por ordenanza (Artículo 16, párrafo 1 de la Ley de Protección de Información Personal de Japón).

  • Aquellos que están sistemáticamente organizados para permitir la búsqueda de información personal específica utilizando una computadora
  • Aquellos que están sistemáticamente organizados para permitir la fácil búsqueda de información personal específica

Los operadores de negocios que manejan información personal que utilizan bases de datos de información personal, etc., para sus negocios, tienen la obligación de informar a la Comisión de Protección de Información Personal.

Cuatro casos en los que es necesario informar a la Comisión de Protección de Datos Personales

En caso de una fuga de información personal, se requiere informar a la Comisión de Protección de Datos Personales en los siguientes cuatro casos, según lo establecido en el Artículo 7 del Reglamento de Ejecución de la Ley de Protección de Datos Personales (Ley Japonesa de Protección de Datos Personales).

  1. Cuando se produce o puede producirse una fuga de datos personales que incluye información personal que requiere consideración especial.
  2. Cuando se produce o puede producirse una fuga de datos personales que, si se utiliza de manera indebida, puede causar daño económico.
  3. Cuando se produce o puede producirse una fuga de datos personales que puede haber sido realizada con fines ilícitos.
  4. Cuando se produce o puede producirse una fuga que afecta a más de 1,000 personas en relación con sus datos personales.

A continuación, explicaremos estos casos.

Fuga de información personal que requiere consideración especial

La “información personal que requiere consideración especial” se refiere a la información personal que se define por decreto como aquella que requiere especial consideración en su manejo para evitar la discriminación injusta, los prejuicios y otros perjuicios contra el individuo, como la raza, la creencia, el estatus social, el historial médico, el historial criminal y la victimización criminal del individuo.

Por ejemplo, los detalles relacionados con el historial médico de un empleado, como los resultados de un examen de salud, se considerarían información personal que requiere consideración especial.

Fuga de información personal que puede causar daño económico

Este caso se refiere a la fuga de datos personales que, si se utilizan de manera indebida, pueden causar daño económico.

Un ejemplo concreto sería si una empresa filtra información de tarjetas de crédito de los clientes.

Fuga de información personal realizada con fines ilícitos

Este caso se aplica cuando la entidad que causa la fuga de datos personales tiene un propósito ilícito.

Por ejemplo, si un tercero o un empleado de la empresa accede ilegalmente a la red de la empresa con el propósito de utilizar la información personal de manera indebida y causa una fuga de datos personales.

Fuga de información personal a gran escala

Este caso se aplica cuando se produce una fuga que afecta a más de 1,000 personas en relación con sus datos personales.

Las empresas que manejan grandes cantidades de datos personales deben tener cuidado, ya que existe la posibilidad de que se produzca una fuga de datos personales a gran escala de una sola vez.

Asuntos a informar a la Comisión de Protección de Información Personal en caso de filtración de información

Asuntos a informar a la Comisión de Protección de Información Personal en caso de filtración de información

En caso de que se requiera informar a la Comisión de Protección de Información Personal, es necesario reportar los asuntos estipulados en el Artículo 8, Párrafo 1 de las Regulaciones de Ejecución de la Ley de Protección de Información Personal de Japón (Ley de Protección de Información Personal Japonesa).

(Informe a la Comisión de Protección de Información Personal)
Artículo 8: Cuando un operador de negocios de manejo de información personal deba hacer un informe de acuerdo con las disposiciones del texto principal del Párrafo 1 del Artículo 26 de la Ley, debe informar rápidamente los siguientes asuntos relacionados con la situación en cuestión (limitado a lo que se conoce en el momento de intentar hacer el informe. Lo mismo se aplica en el siguiente artículo) después de conocer la situación estipulada en cada ítem del artículo anterior.

e-GOV|Ley de Protección de Información Personal Japonesa[ja]

En caso de que se aplique alguno de los cuatro casos en los que se requiere el informe mencionado anteriormente, el operador de negocios debe informar rápidamente los siguientes asuntos a la Comisión de Protección de Información Personal:

  • Resumen
  • Ítems de datos personales que han sido filtrados o que podrían haber sido filtrados
  • Número de individuos relacionados con los datos personales que han sido filtrados o que podrían haber sido filtrados
  • Causa
  • Existencia y contenido de daños secundarios o posibilidad de los mismos
  • Estado de implementación de la respuesta al individuo
  • Estado de implementación de la publicación
  • Medidas para prevenir la recurrencia
  • Otros asuntos de referencia

Sin embargo, solo es necesario informar sobre los asuntos que se conocen en el momento del informe.

Plazo para informar a la Comisión de Protección de Datos Personales de Japón (Comisión de Protección de Información Personal) en caso de filtración de información

Existe un plazo establecido para informar a la Comisión de Protección de Datos Personales de Japón (Comisión de Protección de Información Personal) (Artículo 8, párrafo 2, del Reglamento de Ejecución de la Ley de Protección de Datos Personales de Japón).

En principio, es necesario informar a la Comisión de Protección de Datos Personales de Japón dentro de los 30 días desde el día en que se conoce la situación de la filtración, etc. En caso de que la entidad que ha causado la filtración de datos personales tenga un propósito malintencionado, es necesario informar dentro de los 60 días.

Obligación de notificar al interesado

En caso de que se produzca una fuga de información personal, además de la obligación de informar a la Comisión de Protección de Información Personal, también se establece la obligación de notificar al interesado (Artículo 26, párrafo 2, de la Ley de Protección de Información Personal japonesa).

El propósito de la notificación al interesado es prevenir la violación de los derechos e intereses del individuo al permitirle tomar medidas contra la fuga de información personal lo más pronto posible. Por lo tanto, se establece que el operador del negocio de manejo de información personal debe notificar rápidamente al individuo.

Resumen: Consulte a un abogado para la respuesta administrativa a la filtración de información personal

Hemos explicado principalmente la respuesta administrativa que una empresa debe tomar en caso de una filtración de información personal.

Como empresa, es esencial establecer un sistema que prevenga la filtración de información. Sin embargo, si ocurre una filtración de información, es necesario responder adecuadamente.

La Ley de Protección de Información Personal Japonesa (Ley de Protección de Información Personal) es una ley que se modifica con frecuencia y tiene una estructura compleja en algunas partes. Por lo tanto, para responder adecuadamente, recomendamos consultar a un abogado con conocimientos especializados.

Presentación de las medidas propuestas por nuestro despacho

El despacho de abogados Monolith es una firma legal con alta especialización en IT, especialmente en los aspectos de Internet y derecho. En los últimos tiempos, la fuga de información personal se ha convertido en un problema grave. En caso de que se produzca una fuga de información personal, puede tener un impacto fatal en las actividades Negocios. Nuestra firma tiene conocimientos especializados en la prevención de fugas de información y en las medidas a tomar en caso de que ocurran.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba