¿Qué es el GDPR? Explicación de la comparación con la Ley de Protección de Datos Personales y los puntos clave que las empresas japonesas deben tener en cuenta
Al expandir sus operaciones al territorio de la UE, es necesario tener un conocimiento exhaustivo sobre el GDPR (Reglamento General de Protección de Datos). Incluso las empresas japonesas que no tienen una base en la UE pueden estar sujetas al GDPR. Adquiera conocimientos básicos sobre el GDPR y la Ley Japonesa de Protección de Datos Personales, y asegúrese de gestionar los datos de manera adecuada.
En este artículo, explicaremos sobre el GDPR, comparándolo con la Ley Japonesa de Protección de Datos Personales y destacando los puntos que las empresas japonesas deben tener en cuenta. Si usted es un profesional legal que está considerando si necesita modificar las reglas de protección de datos o desea conocer las leyes que debe abordar para expandir su negocio en la UE, le invitamos a utilizar este artículo como referencia.
¿Qué es el GDPR (Reglamento General de Protección de Datos de la UE)?
El “GDPR (General Data Protection Regulation)”, conocido en Japón como “Reglamento General de Protección de Datos”, es una normativa establecida por la Unión Europea (UE) que regula el manejo de datos personales (protección de información personal).
Establece estándares estrictos para el manejo de datos personales dentro de la UE, con el objetivo de fortalecer la protección de la privacidad de las personas.
Desde la perspectiva de la protección de la información personal, proporciona estándares sobre cómo las empresas y organizaciones deben manejar los datos y cómo las personas pueden proteger su propia información.
Referencia: Comisión de Protección de Información Personal | “Traducción provisional al japonés del Reglamento General de Protección de Datos (GDPR)[ja]“
Los principios básicos del GDPR son los siguientes:
- Legalidad, justicia y transparencia
- Limitación de la finalidad
- Minimización de datos
- Exactitud
- Limitación del almacenamiento de registros
- Integridad y confidencialidad
A continuación, explicaremos cada uno de estos principios básicos.
Legalidad, Equidad y Transparencia
Los principios fundamentales del GDPR que se mencionan en primer lugar son la legalidad, la equidad y la transparencia.
Cuando los operadores recopilan y procesan datos personales, deben basarse en una justificación legal válida y comunicar de manera clara a las partes interesadas cómo se llevará a cabo dicho procesamiento.
Además, se enfatiza que los operadores deben proporcionar información explícita sobre la privacidad y mantener la transparencia para que las partes interesadas comprendan y puedan controlar cómo se manejan sus datos.
Limitación del propósito de uso
La limitación del propósito de uso significa que la recolección y el procesamiento de datos deben realizarse únicamente para fines específicos y claros.
Los operadores que adquieren datos personales deben indicar el propósito de manera precisa y concreta a las partes interesadas y obtener su consentimiento explícito. Además, se requiere que los operadores restrinjan el uso de los datos recopilados exclusivamente a los fines para los cuales han obtenido el consentimiento del titular de los datos y los gestionen de manera estricta.
Minimización de Datos Personales
La recolección de datos personales debe limitarse (minimizarse) al alcance necesario para lograr el objetivo propuesto. Solo recopilamos datos personales que son adecuados para el propósito solicitado y evitamos recolectar información personal adicional innecesaria.
Esto permite mantener al mínimo la cantidad de datos personales retenidos y proteger la privacidad de las personas.
Precisión
Como principio fundamental del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), los datos personales deben ser precisos. Los datos personales inexactos deben corregirse, y se deben tomar medidas para mantener la información actualizada y exacta.
Esto garantiza la protección de los derechos e intereses de las personas y asegura que el procesamiento de datos personales se realice con base en información precisa.
Limitaciones en la conservación de registros
Entre los principios fundamentales del Reglamento General de Protección de Datos (GDPR) se encuentra el concepto de limitación del almacenamiento de registros. Los datos personales que ya no son necesarios una vez cumplido su propósito deben ser eliminados de manera expedita.
Al no conservar datos personales innecesarios, se logra una gestión adecuada de los mismos y se protege la privacidad de las personas.
Integridad y Confidencialidad
Los datos personales deben ser íntegros y su confidencialidad debe estar protegida. Es necesario salvaguardar los datos personales contra alteraciones o pérdidas y tomar las medidas adecuadas para prevenir accesos no autorizados.
Esto contribuirá a mejorar la fiabilidad de los datos personales.
¿No solo para empresas dentro de la UE? Alcance de la aplicación del GDPR
El GDPR no se aplica únicamente a las empresas dentro de la UE. También puede aplicarse a empresas japonesas. A continuación, explicaremos los cuatro tipos de empresas a las que se aplica el GDPR.
Empresas sujetas a la aplicación del GDPR | Descripción |
Empresas con sede en la UE | “Responsable” | Se denomina responsable a la organización que define los propósitos y medios del procesamiento de datos y posee la propiedad de los datos. Por ejemplo, empresas con oficinas centrales o sucursales dentro de la UE están incluidas. El responsable tiene la obligación de asegurar un procesamiento de datos legal y transparente. |
Empresas que reciben encargos de procesamiento de datos personales de empresas de la UE | “Encargado” | Cuando una empresa dentro de la UE subcontrata el procesamiento de datos a otra empresa, esta última se convierte en “Encargado” y queda sujeta al GDPR. El encargado también tiene la responsabilidad de asegurar la seguridad y el procesamiento legal de los datos. |
Empresas que ofrecen bienes o servicios a individuos dentro de la UE | Empresas que proporcionan tiendas en línea o servicios web están incluidas. El manejo de datos relacionados con los bienes o servicios ofrecidos debe cumplir con los estándares del GDPR. |
Empresas que supervisan a individuos dentro de la UE | La supervisión se refiere al seguimiento a largo plazo del comportamiento o estado de individuos específicos. Por ejemplo, empresas que operan cámaras de vigilancia o rastrean comportamientos en línea están incluidas, y se requiere un manejo legal de los datos. |
Las empresas sujetas al GDPR están obligadas a asegurar un procesamiento de datos legal y transparente, la seguridad de los mismos, y el cumplimiento con los estándares del GDPR.
Artículo relacionado: ¿Qué sucede cuando el GDPR se aplica extraterritorialmente? Explicación de métodos de respuesta[ja]
Tratamiento de Datos Personales bajo el GDPR
El GDPR proporciona un marco para la protección de la privacidad y la circulación de datos en lo que respecta al tratamiento de datos personales.
El objetivo y los principios de este reglamento están destinados a asegurar la protección de los derechos fundamentales y libertades, especialmente el respeto a la privacidad personal, y a promover la libre circulación de datos personales (Artículo 4 del GDPR). |
El GDPR protege el control y el respeto de los datos personales, al mismo tiempo que promueve su circulación y asegura la confiabilidad mediante una gestión adecuada.
Para ello, la transparencia en el procesamiento de datos y la responsabilidad corporativa son cruciales, y se requiere que las empresas manejen los datos de manera adecuada según las regulaciones.
El GDPR también incluye los siguientes artículos:
Cuando una empresa sujeta al GDPR maneje datos personales, en principio, se requiere el consentimiento del interesado (Artículo 6(1)(a) del GDPR). |
El responsable debe ser capaz de demostrar que el interesado ha consentido el tratamiento de sus datos personales (Artículo 7(1) del GDPR). |
Además, el interesado tiene el derecho de retirar su consentimiento al tratamiento de sus datos personales en cualquier momento (Artículo 7(3) del GDPR). |
Además, existen casos en los que se permite el tratamiento de datos personales sin el consentimiento del interesado. Algunos ejemplos específicos son los siguientes:
- Cuando sea necesario para la ejecución de un contrato en el que el interesado es parte.
- Cuando sea necesario para tomar medidas a petición del interesado antes de la celebración de un contrato.
- Cuando sea necesario para que el responsable cumpla con una obligación legal.
- Cuando sea necesario para proteger intereses vitales del interesado o de otra persona.
- Cuando sea necesario por razones de interés público o para el ejercicio de poderes oficiales conferidos al responsable.
- Cuando sea necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero (se requiere una ponderación con los derechos, intereses y libertades del interesado).
Principales derechos relacionados con los datos personales en el GDPR
En el GDPR (Reglamento General de Protección de Datos), se reconocen principalmente los siguientes derechos a los sujetos de datos personales:
- Derecho de acceso a los datos personales
- Derecho a solicitar la rectificación o eliminación de datos personales
- Derecho a solicitar la limitación del uso de datos personales
- Derecho a objetar el tratamiento de los datos personales
Los sujetos de datos personales tienen el derecho de entender cómo el proveedor está utilizando su información. Si sienten que la información es inexacta o se está utilizando de manera inapropiada, pueden solicitar su rectificación o eliminación, así como la suspensión temporal de su uso o presentar una objeción.
Principales responsabilidades relacionadas con los datos personales en el GDPR
Mientras que se reconocen los siguientes derechos a los sujetos de los datos personales, las empresas que recopilan y procesan datos personales tienen principalmente las siguientes responsabilidades:
- Establecer un sistema y una estructura de personal para el manejo de datos personales conforme al GDPR
- Mantener registros de la gestión de datos personales
- Responder ante una violación de datos personales
Para asegurar que los datos personales estén adecuadamente protegidos, estas responsabilidades que recaen sobre las empresas son de suma importancia.
Además, en lo que respecta a los datos personales, es esencial que todas las actividades de procesamiento de datos se registren adecuadamente para facilitar la revisión cuando sea necesario.
En caso de una violación de datos personales, la empresa tiene la responsabilidad de tomar las medidas apropiadas y notificar a las partes afectadas.
En caso de incumplimiento del GDPR
Si un administrador o procesador infringe el GDPR y causa daño al titular de los datos, puede ser objeto de una reclamación de indemnización por daños y perjuicios (Artículo 82(1) del GDPR).
Además, una infracción del GDPR puede acarrear consecuencias severas. Por ejemplo, en respuesta a una conducta infractora, la UE puede imponer multas administrativas conforme al Artículo 83 del GDPR (Artículo 83 del GDPR).
Diferencias entre el GDPR y la Ley de Protección de Datos Personales
Las diferencias principales entre el GDPR y la Ley de Protección de Datos Personales son las siguientes:
- Sujetos protegidos
- Respuesta ante la violación de datos personales
- Establecimiento de representantes
- Sanciones en caso de incumplimiento
A continuación, explicaremos en detalle.
Sujetos protegidos
El GDPR y la Ley de Protección de Datos Personales difieren en cuanto a los datos que protegen. El GDPR protege de manera amplia los datos personales procesados dentro de la UE. No solo se aplica a las empresas con sede en la UE, sino también a aquellas que ofrecen bienes o servicios a personas dentro de la UE.
Por otro lado, los sujetos protegidos por la Ley de Protección de Datos Personales varían según el país o la región.
Por ejemplo, la Ley de Protección de Datos Personales japonesa se enfoca en la información personal procesada dentro del país, y su protección se limita principalmente al ámbito nacional.
Respuesta ante la violación de datos personales
Existen diferencias en la respuesta ante la violación de datos personales entre el GDPR y la Ley de Protección de Datos Personales.
Bajo el GDPR, si ocurre una violación de datos, las empresas tienen la obligación de notificar a la autoridad supervisora dentro de las 72 horas. También tienen la responsabilidad de informar de manera rápida y explícita al titular de los datos personales.
En la Ley de Protección de Datos Personales, también se requiere una notificación rápida en caso de violación de datos, pero los plazos y el contenido de la notificación varían según el país o la región.
Establecimiento de representantes
El GDPR y la Ley de Protección de Datos Personales tienen reglas diferentes en cuanto al establecimiento de representantes.
El GDPR requiere el consentimiento de los padres o representantes legales para el procesamiento de datos personales de niños. Además, las empresas que ofrecen servicios en línea y manejan datos personales de menores de 16 años necesitan el consentimiento de los padres.
La Ley de Protección de Datos Personales también requiere el consentimiento de un representante legal para el manejo de información personal de niños, pero la edad especificada y el método para obtener el consentimiento varían según la legislación.
Sanciones en caso de incumplimiento
Otra diferencia entre el GDPR y la Ley de Protección de Datos Personales son las sanciones en caso de incumplimiento.
El GDPR puede imponer sanciones de hasta el 4% de la facturación anual total de la empresa o 20 millones de euros, lo que sea mayor, por infracciones.
Las sanciones bajo la Ley de Protección de Datos Personales varían según el país o la región, pero generalmente incluyen multas o responsabilidades legales. El monto de las multas varía según la naturaleza y la gravedad de la infracción.
Puntos clave para que las empresas japonesas tomen medidas frente al GDPR
Las empresas que se ajustan a los siguientes criterios necesitan tomar medidas en relación con el GDPR.
- Empresas que tienen filiales, sucursales o oficinas comerciales dentro de la UE
- Empresas que ofrecen bienes o servicios a la UE desde Japón
- Empresas que han recibido encargos de procesamiento de datos personales de empresas u otras entidades dentro de la UE
Como ejemplo de medidas específicas en las empresas, el Artículo 32 y el Preámbulo (83) del GDPR recomiendan la encriptación como una de las tecnologías de protección de datos.
Por lo tanto, es necesario encriptar los datos personales en medios de almacenamiento como PCs de clientes, discos duros, memorias USB, carpetas compartidas, entre otros.
Además, es necesario cambiar la política de privacidad para que esté en conformidad con el GDPR. En el siguiente artículo, explicamos en detalle cómo crear una política de privacidad que cumpla con el GDPR.
Artículo relacionado: Explicación de los puntos clave para crear una política de privacidad conforme al GDPR[ja]
Resumen: Consulte a un experto para medidas de protección de datos GDPR
El Reglamento General de Protección de Datos (GDPR) protege ampliamente los datos personales procesados dentro de la UE, exigiendo un tratamiento de datos legal y transparente y la garantía de seguridad. Las diferencias entre el GDPR y la Ley de Protección de Datos Personales incluyen aspectos como el alcance de la protección, la respuesta ante violaciones de datos personales, la designación de representantes y las sanciones en caso de infracción.
Las empresas que tienen su base en la UE, aquellas que ofrecen bienes o servicios a personas dentro de la UE, o las que procesan datos personales en nombre de empresas de la UE, están sujetas a la aplicación del GDPR. Incumplir el GDPR puede resultar en reclamaciones por daños y perjuicios y sanciones económicas, por lo que es esencial prestar atención y actuar con precaución.
Si necesita modificar las normativas de protección de datos de su empresa para cumplir con el GDPR, se recomienda encarecidamente consultar a un especialista.
Medidas de Nuestra Firma
Monolith Law Office es un despacho de abogados con una amplia experiencia en IT, especialmente en Internet y derecho. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos se ha incrementado significativamente. Nuestra firma ofrece soluciones en asuntos de derecho internacional.
Áreas de práctica de Monolith Law Office: Asuntos Legales Internacionales y Negocios en el Extranjero[ja]