MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Qué son la Ley de Protección de Información Personal Japonesa y la información personal? Un abogado explica

General Corporate

¿Qué son la Ley de Protección de Información Personal Japonesa y la información personal? Un abogado explica

La Ley de Protección de Información Personal (o más precisamente, “Ley sobre la Protección de Información Personal”), que fue revisada en 2015 (y puesta en vigor desde 2017), es una legislación importante a considerar cuando se trata de problemas de información personal en las actividades Negocios, y aclara las obligaciones legales que los operadores de información personal deben cumplir. Hasta el año 27 de la era Heisei (2015), los operadores de información personal estaban limitados a aquellos que poseían información personal de más de 5000 personas, por lo que había muchas empresas que no eran operadores de información personal, como las pequeñas empresas. Sin embargo, después de la revisión de 2015, esta condición ya no existe, por lo que casi todas las empresas se han convertido en operadores de información personal, convirtiéndose en una ley ineludible incluso para los propietarios de pequeñas empresas. Para cosas como ventas por correo, boletines por correo electrónico, emisión de DM y tarjetas de puntos para tiendas físicas, es necesario manejar información personal como nombres de clientes y direcciones de correo electrónico, por lo que es necesario tener una comprensión básica de la Ley de Protección de Información Personal.

Objetivo y definición de la Ley Japonesa de Protección de Datos Personales

Explicaremos el resumen y la definición de la Ley Japonesa de Protección de Datos Personales.

¿Qué es exactamente la Ley Japonesa de Protección de Datos Personales? Veamos un resumen. En primer lugar, el propósito de esta ley se aclara en el Artículo 1.

Artículo 1 de la Ley Japonesa de Protección de Datos Personales
Esta ley tiene como objetivo, teniendo en cuenta que el uso de la información personal se ha expandido significativamente con el avance de la sociedad de la información y las comunicaciones, establecer los principios básicos y las políticas básicas del gobierno y otros asuntos fundamentales para la protección de la información personal, aclarar las responsabilidades de los gobiernos nacionales y locales, y establecer las obligaciones que deben cumplir los operadores que manejan información personal, para que el uso adecuado y efectivo de la información personal contribuya a la creación de nuevas industrias y a la realización de una sociedad económica vibrante y una vida nacional rica, mientras se tiene en cuenta la utilidad de la información personal y se protegen los derechos e intereses de las personas.

Esto es lo que dice.

En el Artículo 2, se definen los términos “información personal”, “datos personales” y “datos personales retenidos” (Artículo 2, párrafos 1, 4 y 5).
La “información personal” en la Ley Japonesa de Protección de Datos Personales se refiere a “información sobre un individuo vivo” que “puede identificar a un individuo específico” a través de “nombres, fechas de nacimiento y otras descripciones contenidas en dicha información” (incluyendo información que puede ser fácilmente comparada con otra información, permitiendo la identificación de un individuo específico). “Datos personales” se refiere a la información personal que ha sido digitalizada en una base de datos por una computadora, y aquellos que han sido retenidos por el operador durante más de seis meses son “datos personales retenidos”.

La necesidad de proteger la información personal varía enormemente dependiendo de si está digitalizada o no. Los datos personales son información personal que ha sido digitalizada y organizada sistemáticamente para facilitar la búsqueda, etc., y debido a que la posibilidad de violación de derechos es alta, se le otorga una protección más fuerte que a la información personal en general.

Los datos personales retenidos reciben aún más protección. Estos son datos personales que el operador de información personal tiene la autoridad para divulgar, corregir, agregar o eliminar, detener el uso, borrar y detener la provisión a terceros (Artículo 2, párrafo 7), y se permite la solicitud de divulgación, corrección, detención de uso, etc., teniendo en cuenta la demanda de que el individuo pueda participar adecuadamente en su propia información (más detalles a continuación).

Normas sobre el manejo de la información personal

Para evitar el uso indebido de la información personal, es necesario limitar su manejo dentro del alcance necesario para lograr el propósito especificado claramente como una regla para el manejo adecuado de la información personal.

Por lo tanto, los operadores de negocios de manejo de información personal deben:

  • Al manejar la información personal, deben especificar el propósito de su uso tanto como sea posible (Artículo 15, párrafo 1 de la Ley Japonesa de Protección de Información Personal).
  • No deben manejar la información personal más allá del alcance necesario para lograr el propósito de su uso (Artículo 16, párrafo 1).
  • No deben obtener información personal por medios falsos u otros medios deshonestos (Artículo 17, párrafo 1).
  • Si obtienen información personal, deben notificar o publicar el propósito de su uso a la persona en cuestión (Artículo 18).

La Ley Japonesa de Protección de Información Personal requiere que la información personal poseída por el empresario se utilice de acuerdo con el propósito especificado y publicado de antemano. En otras palabras, es necesario “especificar y publicar el propósito, aunque se pueda utilizar la información personal de cualquier manera”. Por ejemplo, no es ilegal “utilizar la información personal para mostrar anuncios que se ajusten a las características del usuario”, pero es necesario publicar el propósito de este uso de antemano. No se especifica cómo se debe publicar, pero generalmente se hace en la forma de una “política de privacidad” o una “política de protección de información personal”.

Por otro lado, la obtención de información personal sensible, o información personal que requiere consideración especial, está prohibida sin el consentimiento del individuo, que es una regla más estricta que la de la información personal normal (Artículo 17, párrafo 2).

La información personal que requiere consideración especial se define como:

Artículo 2, párrafo 3
En esta ley, “información personal que requiere consideración especial” se refiere a la información personal que incluye descripciones que se determinan por ordenanza gubernamental como aquellas que requieren consideración especial en su manejo para evitar la discriminación injusta, prejuicios y otros desventajas para el individuo, como la raza, la creencia, el estatus social, el historial médico, el historial criminal, el hecho de haber sido víctima de un crimen, etc.

Esto también incluye los resultados de exámenes de discapacidad y salud, la orientación, el tratamiento y la prescripción de medicamentos por parte de un médico, el hecho de que se haya llevado a cabo un procedimiento penal, y el hecho de que se haya llevado a cabo un procedimiento relacionado con un caso de protección juvenil.

Se considera que la razón por la que se impone una regulación estricta de que no se puede “obtener” información personal que requiere consideración especial sin el consentimiento del individuo a menos que exista una razón excepcional, es porque es información que puede generar discriminación y prejuicios si se obtiene y maneja incluso cuando no se considera necesario obtenerla.

Disciplina sobre la gestión y supervisión


Se establece que se debe llevar a cabo una supervisión necesaria y adecuada sobre los empleados para garantizar la gestión segura de los datos personales.

Muchas personas están preocupadas y ansiosas ante la posibilidad de que la información personal se filtre o se altere. En el caso de los datos personales que se han digitalizado, hay aún más preocupación debido a los numerosos casos de filtraciones masivas de información de clientes y otros problemas sociales. Por lo tanto, los operadores de negocios de información personal tienen la obligación de tomar medidas necesarias y adecuadas (medidas de gestión de seguridad) para la gestión segura de los datos personales (Artículo 20 de la Ley Japonesa de Protección de Información Personal).

Violación del deber de seguridad

En realidad, en los casos en que la información personal se ha filtrado o se ha difundido en Internet, en la mayoría de los casos se reconoce una violación del deber de seguridad. Incluso para las pequeñas y medianas empresas, el contenido de las medidas de seguridad teniendo en cuenta sus características está claramente indicado en las “Directrices sobre la Ley Japonesa de Protección de Información Personal (Edición General)” (Comisión de Protección de Información Personal). Por lo tanto, es importante tomar medidas de acuerdo con estas directrices, no sólo para cumplir con el Artículo 20 de la Ley Japonesa de Protección de Información Personal, sino también para evitar ser responsables de actos ilícitos basados en la violación de la privacidad debido a casos de filtración, incluyendo en Internet.

Sin embargo, no importa cuán bien se establezcan los sistemas y procedimientos, su operación adecuada finalmente depende de las personas. Por lo tanto, se establece que “el operador de negocios de información personal, al permitir a sus empleados manejar datos personales, debe llevar a cabo una supervisión necesaria y adecuada sobre los empleados para garantizar la gestión segura de dichos datos personales” (Artículo 21 de la Ley Japonesa de Protección de Información Personal).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Además, la venta o extracción de datos de clientes por parte de los empleados no sólo hace que el empleado sea responsable de un acto ilícito (Artículo 709 del Código Civil Japonés), sino que también puede hacer que el operador de negocios de información personal sea responsable como empleador (Artículo 715 del Código Civil Japonés), por lo que se requiere precaución.

“Provisión a terceros” y “Encargo”

La Ley Japonesa de Protección de Información Personal prohíbe en principio la provisión de información personal de los clientes a “terceros”, incluso si es para los fines anunciados previamente, a menos que se obtenga el consentimiento. Sin embargo, si se lleva esta regla al extremo, incluso “colocar una base de datos de clientes en un servidor de alquiler sería ilegal”. Esto se debe a que el servidor de alquiler es un “tercero” para el operador del negocio.

Sin embargo, dentro de la “provisión a terceros”, el “encargo” es excepcionalmente permitido, y se permite el “encargo” a personas que no utilizan la información. Por ejemplo, un servidor de alquiler simplemente almacena la información y no la utiliza. Aunque es común encargar a terceros el manejo de la información personal, para prevenir situaciones como el manejo inadecuado por parte del contratista o la repetición de encargos jerárquicos que hacen que la responsabilidad sea incierta, se establece que “el operador de negocios de información personal, cuando encarga todo o parte del manejo de los datos personales, debe llevar a cabo una supervisión necesaria y adecuada sobre la persona encargada para garantizar la gestión segura de los datos personales encargados” (Artículo 22 de la Ley Japonesa de Protección de Información Personal).

Normalización del manejo de información personal a través de la participación del individuo


La Ley Japonesa de Protección de Información Personal es una de las leyes más importantes a considerar en cuestiones de información personal y privacidad.

La Ley Japonesa de Protección de Información Personal permite que, bajo ciertas condiciones, el individuo pueda solicitar al operador del negocio de manejo de información personal que revele (Artículo 28), corrija, agregue o elimine (Artículo 29) los datos personales que posee sobre él, o que detenga su uso (Artículo 30), con el fin de normalizar el manejo de la información personal a través de la participación del individuo. Estas participaciones del individuo están claramente establecidas como derechos de reclamación bajo la ley civil, y si el operador del negocio de manejo de información personal no cumple con la solicitud, el individuo puede hacer valer sus derechos a través de un juicio.

Si el individuo a quien pertenece la información solicita, el operador del negocio de manejo de información personal debe revelar los datos personales que posee, y si hay errores en el contenido, debe responder con correcciones, etc. Además, si el manejo viola las obligaciones legales, como el uso para fines no previstos, métodos de adquisición inapropiados, o la provisión a terceros sin el consentimiento del individuo, se debe detener el uso de la información. Como se ha mencionado, la Ley Japonesa de Protección de Información Personal es una ley que intenta proteger los derechos de los ciudadanos imponiendo diversas obligaciones a los operadores de negocios que manejan información personal.

Sanciones por filtración de información personal

La Ley de Protección de Información Personal Japonesa establece sanciones para los casos en que una empresa filtre información personal.

Si una empresa viola la Ley de Protección de Información Personal Japonesa y filtra información, primero se le recomendará por parte del gobierno que “cese la conducta violatoria y tome las medidas necesarias para corregir la violación” (Artículo 42). Si también se viola esta recomendación, el empleado que cometió la violación puede ser “sentenciado a prisión por un período de hasta 6 meses o multado con hasta 300,000 yenes” (Artículo 84), y la empresa que emplea a ese empleado también puede ser “multada con hasta 300,000 yenes” (Artículo 85). Además, si se proporciona o se roba con el propósito de obtener beneficios ilegales, se puede “sentenciar a prisión por un período de hasta 1 año o multar con hasta 500,000 yenes” sin recomendación (Artículo 83).

https://monolith.law/corporate/riesgo-de-filtración-de-información-personal-de-la-empresa-compensación-por-daños[ja]

Resumen

La Ley de Protección de Datos Personales (Ley Japonesa de Protección de Datos Personales) es una ley que exige a los operadores que manejan información personal que la traten de manera adecuada y tomen las medidas necesarias y apropiadas para su gestión segura. Es una ley importante que prácticamente todas las empresas no pueden evitar.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba