Español English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_SPA/header.php</b> on line <b>89</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > ¿Qué es la "excepción de la nube" en la Ley de Protección de Información Personal? Una explicación basada en ejemplos reales de orientación administrativa recibida por proveedores de servicios en la nube.

¿Qué es la "excepción de la nube" en la Ley de Protección de Información Personal? Una explicación basada en ejemplos reales de orientación administrativa recibida por proveedores de servicios en la nube.

IT

¿Qué es la

Los operadores de negocios que manejan información personal están sujetos a diversas regulaciones en el tratamiento de dicha información según la Ley de Protección de Información Personal en Japón. Nuestra información personal está profundamente relacionada con la privacidad e incluye información importante relacionada con características físicas y propiedades, por lo que es natural que se establezcan reglas estrictas.

Sin embargo, esta ley también establece algunas excepciones. Una de ellas es lo que se conoce como la “excepción de la nube”.

Entonces, ¿qué es la “excepción de la nube”? En este artículo, basándonos en el caso de MK System, que recibió orientación administrativa en el año Reiwa 6 (2024), explicaremos de manera clara y comprensible la descripción general de la “excepción de la nube” y las condiciones para su aplicación.

Principios y excepciones al proporcionar datos personales a terceros bajo la ley japonesa

Principios y excepciones al proporcionar datos personales a terceros bajo la ley japonesa

En primer lugar, revisemos los principios y excepciones aplicables al proporcionar datos personales a terceros según la Ley de Protección de Información Personal en Japón.

Principios de la Ley de Protección de Datos Personales al proporcionar datos personales a terceros en Japón

Cuando un operador de negocios que maneja información personal utiliza servicios en la nube, se considera que ha “encomendado todo o parte del manejo de datos personales” según el Artículo 27, Párrafo 5, Inciso 1 de la Ley de Protección de Datos Personales de Japón (平成17年(2005)), y por lo tanto, debe realizar la supervisión necesaria y adecuada del proveedor de servicios en la nube de acuerdo con el Artículo 25 de la misma ley, lo cual es el principio básico.

¿Qué es la Excepción de la Nube bajo la Ley Japonesa?

La excepción a la que nos referimos es conocida como la “Excepción de la Nube”.

En este contexto, los “proveedores de servicios de nube” son empresas que principalmente ofrecen infraestructura de TI como almacenamiento y servidores (IaaS/PaaS) y que custodian, almacenan y procesan datos de otras compañías a través de Internet. Los siguientes son ejemplos de tales proveedores:

  • Amazon Web Services (AWS): Proporcionado por la estadounidense Amazon, es ampliamente adoptado por muchas compañías japonesas.
  • Microsoft Azure: Servicio de infraestructura en la nube de Microsoft, con numerosos casos de implementación en agencias gubernamentales.
  • Google Cloud Platform (GCP): Ofrecido por Google, con fortalezas en IA y procesamiento de big data.

La Excepción de la Nube se aplica a los proveedores de servicios que desarrollan sistemas en la infraestructura de la nube (IaaS o PaaS) y los ofrecen a los clientes en un modelo SaaS (Software as a Service), cuando manejan datos personales.

En el Q&A sobre las “Directrices de la Ley de Protección de Información Personal” de la Comisión de Protección de Información Personal, se menciona lo siguiente en la sección 7-53:

(Cuando no se considera a un tercero) P7-53 Si un operador de negocios que maneja información personal está utilizando un sistema de información que maneja datos electrónicos que incluyen datos personales, como en un contrato de servicios en la nube, ¿es necesario obtener el “consentimiento del individuo” (Artículo 27, Párrafo 1) como si se hubiera proporcionado datos personales a un tercero? O, ¿se considera que se ha “encargado el manejo total o parcial de los datos personales” (Artículo 27, Párrafo 5, Ítem 1), y por lo tanto, es necesario supervisar al proveedor de servicios en la nube según el Artículo 25?

A7-53 Hay muchas formas de servicios en la nube, pero si su uso constituye una provisión a terceros que requiere el consentimiento del individuo (Artículo 27, Párrafo 1) o un encargo (Artículo 27, Párrafo 5, Ítem 1), no se determina por si los datos electrónicos almacenados incluyen datos personales, sino si el proveedor de servicios en la nube manejará los datos personales. Si el proveedor de servicios en la nube no va a manejar los datos personales, entonces el operador de negocios que maneja información personal no se considera que haya proporcionado datos personales, por lo que no es necesario obtener el “consentimiento del individuo”. Además, en el caso mencionado, como no se considera que se hayan proporcionado datos personales, tampoco se aplica el caso de “encargar el manejo total o parcial de los datos personales… cuando se proporcionan” (Artículo 27, Párrafo 5, Ítem 1), y no hay obligación de supervisar al proveedor de servicios en la nube según el Artículo 25. Para los operadores de negocios que manejan información personal, cuando el proveedor de servicios en la nube no va a manejar los datos personales, se considera que las medidas de seguridad de manejo de información personal se refieren a la sección Q7-54. Un caso en el que el proveedor de servicios en la nube no va a manejar los datos personales podría ser cuando los términos del contrato estipulan que el proveedor externo no manejará los datos personales almacenados en el servidor y se lleva a cabo un control de acceso adecuado. Para la relación con el Artículo 28, ver la sección Q12-3.

Q&A sobre las “Directrices de la Ley de Protección de Información Personal”[ja]|Comisión de Protección de Información Personal

Por lo tanto, cuando los usuarios de servicios en la nube utilizan estos servicios, no es necesario supervisar al proveedor de servicios en la nube si se cumplen los requisitos de la excepción. Para que se aplique la “Excepción de la Nube”, es decir, que “no se manejarán los datos personales”, se necesitan cumplir los siguientes dos requisitos:

  • Los términos del contrato deben estipular que el proveedor externo no manejará los datos personales almacenados en el servidor.
  • Se debe llevar a cabo un control de acceso adecuado.

Orientación administrativa a la empresa MK System bajo la ley japonesa de protección de datos personales

El 25 de marzo de Reiwa 6 (2024), la Comisión de Protección de Información Personal de Japón emitió una orientación a la empresa MK System Co., Ltd. basada en el artículo 147 de la Ley de Protección de Información Personal. Este caso, que resultó en una fuga de información a gran escala que afectó a aproximadamente 7.5 millones de personas, ha llevado a la Comisión a publicar una alerta titulada “Puntos de atención para los proveedores de servicios en la nube que se consideran operadores de información personal bajo la Ley de Protección de Información Personal”.

Referencia: Comisión de Protección de Información Personal | Alerta sobre los puntos de atención para los proveedores de servicios en la nube que se consideran operadores de información personal bajo la Ley de Protección de Información Personal[ja]

Examinemos el caso de la orientación administrativa a la empresa MK System Co., Ltd. en relación con la excepción de la nube bajo la Ley de Protección de Información Personal de Japón.

Resumen del Caso

La empresa MK System Co., Ltd. había construido un sistema de apoyo a las operaciones de seguridad social y gestión de personal laboral utilizando los servidores de Tencent Cloud en China, y proporcionaba servicios a usuarios como oficinas de consultores de seguridad social.

En junio de 2023 (Reiwa 5), el servidor sufrió un acceso no autorizado, lo que generó el riesgo de fuga de datos personales gestionados (como nombres, fechas de nacimiento, género, direcciones, números de seguro básico de pensiones, números de seguro de empleo y My Number, entre otros) de los clientes de los consultores de seguridad social, que son empresas y lugares de trabajo.

La relación entre estas tres entidades, aplicada a las directrices, es la siguiente:

Posición según las directricesOperadorContenido
ContratanteUsuarios como consultores de seguridad social (operadores de negocios que manejan información personal)Responsables de manejar los datos personales de clientes (empresas y particulares)
ContratistaMK System Co., Ltd.Provee un sistema que sustituye y apoya las operaciones de los consultores de seguridad social en la nube. Procesa datos personales según las instrucciones del cliente
SubcontratistaTencent Cloud (China)MK System subcontrata la infraestructura de la nube. Puede corresponder a la provisión al extranjero

La Comisión de Protección de Información Personal de Japón determinó que había deficiencias en las medidas de gestión de seguridad técnica de MK System.

Contenido de la Orientación Administrativa Bajo la Ley Japonesa de Protección de Datos Personales

La Comisión de Protección de Información Personal de Japón ha llevado a cabo una orientación administrativa basada en las disposiciones del Artículo 147 de la Ley de Protección de Datos Personales, así como la recolección de informes según lo estipulado en el Artículo 146, Párrafo 1 de la misma ley.

Advertencia de la Comisión de Protección de Información Personal de Japón

La Comisión de Protección de Información Personal de Japón ha anunciado recientemente una “Advertencia sobre los puntos de atención para los proveedores de servicios en la nube que manejan información personal según la Ley de Protección de Información Personal[ja]“.

Esta advertencia está dirigida principalmente a los usuarios de servicios en la nube, para que determinen si el uso de dichos servicios constituye una subcontratación del manejo de datos personales (según el Artículo 27, Párrafo 5, Ítem 1 de la Ley de Protección de Información Personal de Japón) y, en caso afirmativo, los usuarios de servicios en la nube que manejan información personal deben ejercer la supervisión necesaria y adecuada sobre el proveedor subcontratado.

En el caso del sistema MK, se ha determinado que no se aplica la excepción de la nube y que, al manejar datos personales, es necesario ejercer una supervisión adecuada, basándose en los siguientes tres puntos:

  • Los términos de uso estipulan que el proveedor de servicios en la nube puede realizar acciones necesarias como monitoreo, análisis e investigación de datos, entre otros, cuando lo considere necesario para el mantenimiento y la operación, y que, salvo en ciertos casos, no se permite el uso ni la divulgación de datos en el sistema a terceros sin autorización, lo que permite al proveedor de servicios en la nube usar los datos personales del usuario en circunstancias específicas.
  • El proveedor de servicios en la nube posee una ID de mantenimiento y tiene la capacidad de acceder a los datos personales de los usuarios, sin que se hayan implementado medidas de control de acceso técnico para prevenir dicho manejo.
  • Después de intercambiar confirmaciones con el usuario del servicio en la nube, el proveedor ha manejado efectivamente los datos personales del usuario.
Puntos de atención para los proveedores de servicios en la nube que manejan información personal según la Ley de Protección de Información Personal (Advertencia) | Comisión de Protección de Información Personal[ja]

Aspectos a considerar por los proveedores de servicios en la nube bajo la ley japonesa

Aspectos a considerar por los proveedores de servicios en la nube bajo la ley japonesa

Tomando en cuenta los problemas legales y las directrices administrativas y alertas mencionadas anteriormente, ¿cuáles son los aspectos que los proveedores de servicios en la nube (como MK System en los ejemplos anteriores) deben tener en cuenta en Japón?

Revisar nuevamente si se cumplen los requisitos de la excepción en la nube

En primer lugar, es esencial que los proveedores revisen nuevamente si los servicios que ofrecen cumplen con los requisitos de la excepción en la nube.

Tras las alertas emitidas por la Comisión de Protección de Información Personal, es probable que los usuarios de servicios en la nube evalúen si los proveedores de dichos servicios cumplen con los requisitos de la excepción en la nube.

Por lo tanto, es importante que los proveedores de servicios en la nube también revisen si están cumpliendo adecuadamente con los requisitos de la excepción en la nube.

Si no se cumplen los requisitos de la excepción en la nube, es necesario atender la supervisión del contratista

Si no se cumplen los requisitos de la excepción en la nube, será necesario atender la supervisión por parte de los usuarios del servicio en la nube (en este caso, las oficinas de asesoría laboral y empresas que utilizan los servicios proporcionados por MK System).

La supervisión por parte de los usuarios del servicio en la nube incluirá las siguientes acciones, según lo estipulado en las Directrices Generales 3-4-4 sobre la supervisión del contratista (relacionadas con el Artículo 25) de la Ley de Protección de Información Personal:

  • Selección adecuada del contratista: es necesario confirmar que las medidas de seguridad del contratista sean equivalentes a las requeridas por el Artículo 23 y estas directrices para el contratante.
  • Conclusión del contrato de subcontratación: es deseable que el contrato incluya la capacidad del contratante de comprender razonablemente la situación del manejo de los datos personales subcontratados.
  • Comprensión de la situación del manejo de datos personales por parte del contratista: evaluar adecuadamente mediante auditorías periódicas.

Si las medidas de seguridad del contratista son inadecuadas, existe la posibilidad de que el contrato sea rescindido, además de que se pueda exigir la implementación de las medidas de seguridad necesarias y la participación en auditorías periódicas.

Conclusión: Consulte a un abogado sobre la protección de datos personales en servicios de nube

En este artículo, hemos explicado los riesgos que enfrentan los proveedores de servicios en la nube cuando no cumplen con las excepciones de la nube, basándonos en la orientación administrativa publicada en marzo de 2025 (2025年3月) por la Comisión de Protección de Información Personal de Japón.

Como resultado de una fuga de información en este caso, la Comisión de Protección de Información Personal de Japón emitió una advertencia a los usuarios de servicios en la nube. Esta advertencia es relevante no solo para los usuarios de dichos servicios, sino también para las empresas proveedoras, quienes deben revisar los servicios que ofrecen y estar atentos a las posibles cargas que podrían surgir.

Tomando en cuenta esta orientación administrativa, si tiene inquietudes sobre los riesgos que su empresa podría enfrentar o sobre las medidas que debería tomar, se recomienda encarecidamente consultar con un abogado especializado en la protección de datos personales bajo la ley japonesa.

Presentación de Estrategias por Monolith Law Office

Monolith Law Office es un despacho de abogados con una amplia experiencia en IT, especialmente en Internet y derecho. En la actualidad, muchas empresas de IT utilizan servicios en la nube como AWS para desarrollar sus negocios, y la fuga de información personal se ha convertido en un aspecto crítico de la gestión de riesgos que no puede ser ignorado. En caso de que se produzca una fuga de información personal, esto puede tener un impacto devastador en las actividades Negocios. Nuestra firma posee conocimientos especializados en la prevención y manejo de fugas de información. Los detalles se encuentran en el artículo a continuación.

Áreas de práctica de Monolith Law Office: Servicios legales relacionados con la Ley de Protección de Información Personal en Japón[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

¿Generar

¿Generar "voces" con IA podría constituir una infracción de derechos de autor? (#2 Edición de ge.

IT

Riesgo de pérdida de datos y responsabilidad legal de los operadores de sistemas

Riesgo de pérdida de datos y responsabilidad legal de los operadores de sistemas

IT

Los desafíos legales de Metaverso y NFT: Explicación de las leyes a las que se debe prestar atención

Los desafíos legales de Metaverso y NFT: Explicación de las leyes a las que se debe prestar aten.

IT

¿Qué ley se aplica cuando no se ha pagado la recompensa por el desarrollo del sistema?

¿Qué ley se aplica cuando no se ha pagado la recompensa por el desarrollo del sistema?

IT

¿Cuáles son los riesgos de la implementación corporativa de ChatGPT? Explicación de casos de filtración de información confidencial y medidas de prevención

¿Cuáles son los riesgos de la implementación corporativa de ChatGPT? Explicación de casos de fil.

IT

¿Cuáles son los problemas legales relacionados con el servidor e infraestructura de desarrollo de sistemas?

¿Cuáles son los problemas legales relacionados con el servidor e infraestructura de desarrollo d.

IT

¿Cuál es el método de manejo cuando el desarrollo del sistema se interrumpe debido a las circunstancias del usuario?

¿Cuál es el método de manejo cuando el desarrollo del sistema se interrumpe debido a las circuns.

IT

¿Cuál es la ley en caso de que un proyecto que involucra a subcontratistas (recontratación) fracase?

¿Cuál es la ley en caso de que un proyecto que involucra a subcontratistas (recontratación) frac.

IT

Explicación de los puntos legales a tener en cuenta en el 'Contrato SES' para resolver la escasez de personal

Explicación de los puntos legales a tener en cuenta en el 'Contrato SES' para resolver la escase.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Volver arriba