MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Claves para elaborar una Política de Privacidad adaptada al GDPR

General Corporate

Claves para elaborar una Política de Privacidad adaptada al GDPR

Cuando se maneja información personal de usuarios dentro del dominio de la UE, es necesario cumplir con el Reglamento General de Protección de Datos (GDPR) y crear una política de privacidad que se ajuste a este. Sin embargo, muchas personas no entienden en detalle el GDPR y, por lo tanto, no saben si su sitio web necesita adaptarse o cómo hacerlo.

Por esta razón, en este artículo explicaremos los aspectos fundamentales del GDPR y los puntos clave para crear una política de privacidad que cumpla con dicho reglamento. Además, presentaremos la situación actual en Japón y ejemplos de empresas reconocidas que pueden servir de referencia.

Sobre el GDPR y la Política de Privacidad

Sobre el GDPR y la Política de Privacidad

¿Qué caracteriza a una Política de Privacidad que cumple con el GDPR? Aquí explicaremos los aspectos fundamentales del GDPR y las obligaciones que impone en cuanto a la Política de Privacidad.

El GDPR y la Política de Privacidad

El GDPR es un reglamento establecido por la UE que detalla la protección de datos personales y su manejo. El GDPR se aplica en el Área Económica Europea (EEA: los países miembros de la UE, excluyendo Suiza y los países miembros de la EFTA como Islandia, Liechtenstein y Noruega). Las empresas japonesas también pueden estar sujetas a este reglamento en los siguientes casos:

  • Si ofrecen bienes o servicios a sujetos de datos dentro de la UE
  • Si monitorizan el comportamiento de sujetos de datos dentro de la UE

El sujeto de datos es una persona natural identificada o identificable, a quien se refieren los datos personales.

Las empresas que se encuentran en las situaciones mencionadas deben revisar y, si es necesario, modificar su Política de Privacidad (Aviso de Privacidad). En caso de incumplimiento del GDPR, podrían enfrentarse a multas de hasta 20 millones de euros o el 4% del volumen de negocios global anual.

Referencia: Organización Japonesa de Promoción del Comercio | “Reglamento General de Protección de Datos (GDPR) de la UE”[ja]

Para realizar transacciones con seguridad con los países de la UE, es esencial verificar la Política de Privacidad.

La ‘información a proporcionar’ en el momento de la adquisición de datos personales según el GDPR

El GDPR establece que, al adquirir datos personales, el administrador debe proporcionar cierta información al sujeto de datos. El artículo 12(1) del GDPR describe el método de proporcionar esta información.

Los detalles son los siguientes:

  • Debe ser conciso, transparente, inteligible y de fácil acceso
  • Utilizar un lenguaje claro y sencillo
  • Tomar medidas adecuadas al proporcionar información a niños
  • Proporcionarse por escrito o, cuando sea apropiado, por medios electrónicos u otros medios
  • Si el sujeto de datos lo solicita, la información puede ser proporcionada oralmente

Además, el artículo 12(5) del GDPR indica que la provisión de información debe ser gratuita. Verifique si su Política de Privacidad cumple con los requisitos mencionados y realice las revisiones necesarias si es preciso.

Puntos clave al revisar la Política de Privacidad en conformidad con el GDPR

Puntos clave al revisar la Política de Privacidad en conformidad con el GDPR

El GDPR establece que, tanto cuando se obtienen datos personales directamente del interesado (Artículo 13 del GDPR) como cuando se obtienen de terceros (Artículo 14 del GDPR), el responsable del tratamiento debe informar al interesado sobre varios elementos específicos.

Los elementos que el responsable debe explicitar incluyen:

  • Identidad y detalles de contacto del responsable.
  • Si hay un representante, la identidad y detalles de contacto del representante.
  • Derechos del interesado de acceso, rectificación, supresión, limitación, portabilidad de datos y a presentar objeciones.
  • Los fines del tratamiento de los datos personales y la base jurídica para el mismo.
  • El periodo de conservación de los datos personales o los criterios utilizados para determinar dicho periodo.
  • Los tipos de datos personales implicados.

Entre los elementos a explicitar, hay algunos que no estaban presentes en las políticas de privacidad japonesas, por lo que será necesario revisar y actualizar estos aspectos con especial atención. Para obtener más información sobre las políticas de privacidad basadas en la Ley de Protección de Información Personal japonesa, por favor consulte el siguiente artículo.

Artículo relacionado: ¿Cuáles son los puntos clave al crear una Política de Privacidad basada en la Ley de Protección de Información Personal?[ja]

A continuación, explicaremos los puntos clave de la revisión, centrándonos en aquellos aspectos que no estaban presentes en la Política de Privacidad basada en la Ley de Protección de Información Personal japonesa.

Fundamentos de la legalidad del procesamiento de datos

El Reglamento General de Protección de Datos (GDPR) obliga a explicitar los “fundamentos de la legalidad del procesamiento de datos”, algo que no estaba presente en la ley de protección de datos personal anterior. Los fundamentos que hacen legal el manejo de datos personales son los siguientes seis (Artículo 6 del GDPR).

  • Consentimiento del interesado
  • Cumplimiento de un contrato
  • Obligación legal
  • Intereses vitales
  • Interés público
  • Intereses legítimos

Si se aplica al menos uno de los seis fundamentos mencionados, se considerará que el tratamiento es legal, por lo que es recomendable declararlo explícitamente en la política de privacidad. Para las personas que proporcionan información por primera vez, se puede gestionar obteniendo su consentimiento a través de una nueva política de privacidad.

Sin embargo, es importante prestar atención al trato con los usuarios que ya habían dado su consentimiento. Para aquellos que consintieron antes de la revisión de la política de privacidad, podría ser necesario obtener de nuevo su consentimiento.

En este caso, se puede optar por un enfoque que incluya uno de los seis fundamentos legales en la política de privacidad y obtener el consentimiento para la revisión de la misma.

Categorías de información recopilada y propósitos de uso

En las políticas de privacidad tradicionales, era común incluir en la misma página la información recopilada, los propósitos de uso y los términos de servicio, y obtener el consentimiento de forma global. Sin embargo, el Reglamento General de Protección de Datos (GDPR) requiere que se clarifique específicamente para qué se está obteniendo el consentimiento del usuario.

Sería conveniente adoptar un formato de presentación que detalle los propósitos de uso para cada tipo de información recopilada y obtener el consentimiento para cada uno de ellos.

Clarificación del propósito de uso

El Reglamento General de Protección de Datos (GDPR) estipula que se debe indicar claramente el propósito del uso de la información recopilada. Por ejemplo, un propósito de uso como “para mejorar el servicio” puede considerarse demasiado ambiguo y, por lo tanto, inapropiado.

Además, no se permite el manejo adicional de la información que no se ajuste al propósito establecido, por lo que es importante tener esto en cuenta al revisar la política de privacidad.

Derecho de Supresión y Derecho a la Portabilidad de Datos

Es probable que muchas empresas hayan incluido en sus políticas de privacidad tradicionales derechos como el de acceso y rectificación. Sin embargo, el Reglamento General de Protección de Datos (GDPR) también exige la inclusión del “Derecho de Supresión y Derecho a la Portabilidad de Datos”.

El Derecho de Supresión permite a los usuarios solicitar al administrador la eliminación de sus datos personales. Por su parte, el Derecho a la Portabilidad de Datos se refiere a la capacidad de trasladar los datos personales a otro servicio.

Un ejemplo de esto sería transferir los datos y el historial de un abonado de la compañía de telefonía móvil A a la compañía B. Para cumplir con el GDPR, es necesario incluir en la política de privacidad una sección que detalle estos derechos.

Explicitación del período de conservación de datos

En el Reglamento General de Protección de Datos (GDPR) se requiere la explicitación del “período de conservación de la información personal”, un detalle que no se incluía en las políticas de privacidad tradicionales. Si no se puede determinar un período específico, también se permite abordar esto mediante la explicitación de los criterios utilizados para determinar el período de conservación.

Estado de cumplimiento del GDPR por parte de las empresas japonesas

Estado de cumplimiento del GDPR por parte de las empresas japonesas

Les presentamos la información de la encuesta de la “Encuesta de Tendencias en la Utilización de TI Corporativa 2021” (versión detallada) realizada por la Fundación General Japonesa para la Promoción de la Sociedad de la Información Económica y la empresa ITR Corporation, disponible en este enlace[ja].

Resultados de la Encuesta de Tendencias en la Utilización de TI Corporativa 2021 (versión detallada) 1

Según los resultados de la encuesta, las empresas que han implementado el GDPR son pocas, y el 26.1% de las empresas están en proceso de adaptación (en consideración). A la fecha de la encuesta en 2021, también es común que haya empresas que no transfieren datos personales a la UE.

Los resultados de la encuesta sobre el intercambio de datos personales con la UE son los siguientes:

Resultados de la Encuesta de Tendencias en la Utilización de TI Corporativa 2021 (versión detallada) 2

Como se puede ver en el gráfico anterior, el 44.4% de las empresas respondieron que “actualmente no hay intercambio y no hay planes de hacerlo en el futuro”, siendo este el porcentaje más alto. El 12% de las empresas indicaron que “había intercambio antes, pero desde la implementación del GDPR, los datos se están procesando por separado en la UE y en Japón”.

El 25.9% de las empresas indicaron que “actualmente no hay intercambio, pero está planeado para el futuro”, y el 17.6% que “actualmente están intercambiando datos”, lo que sugiere que podría haber un aumento en las empresas que intercambiarán datos con la UE en el futuro, aunque eran pocas en el momento de la encuesta en 2021.

Fuente: JIPDEC/ITR「Encuesta de Tendencias en la Utilización de TI Corporativa 2021」[ja]

La respuesta de empresas reconocidas ante el GDPR

La respuesta de empresas reconocidas ante el GDPR

Es posible que muchas personas no sepan qué contenido deberían incluir al revisar su política de privacidad para cumplir con el GDPR. Aquí explicaremos detalladamente cómo empresas como Google y Facebook han respondido al GDPR, sirviendo como ejemplos de la adaptación corporativa a este reglamento.

La adaptación de Google al GDPR (Reglamento General de Protección de Datos)

Google ha anunciado las siguientes medidas para cumplir con el GDPR:

  • Mejora de la transparencia hacia los usuarios
  • Mejora del control por parte de los usuarios
  • Mejora de la portabilidad de datos
  • Mejora de herramientas para el consentimiento de los tutores y el uso adecuado de Internet por parte de los niños
  • Soporte a usuarios Negocios y socios
  • Fortalecimiento del programa de cumplimiento de privacidad

A continuación, explicaremos los detalles.

Referencia: Google「Acerca de los esfuerzos de Google para el nuevo Reglamento General de Protección de Datos (GDPR) de la UE[ja]

Mejora de la transparencia hacia los usuarios

Google está mejorando y actualizando su política de privacidad para hacer más comprensible la información que recopila y las razones detrás de ello, y para facilitar la localización de dicha información. Otros cambios incluidos son los siguientes:

  • Añadir detalles sobre la gestión, exportación y eliminación de la información
  • Incorporar videos y gráficos además de texto

Además, se han modificado las configuraciones para que la página de ajustes de privacidad sea más accesible.

Mejora en la gestión por parte de los usuarios

Para cumplir con el Reglamento General de Protección de Datos (GDPR), hemos mejorado la forma en que los usuarios gestionan sus datos. Los cambios realizados son los siguientes:

  • Posibilidad de visualizar y eliminar datos en “Mi Actividad”
  • Funcionalidad para buscar por tema, fecha y producto
  • Opción de revisar ajustes de privacidad adecuados para el usuario
  • Capacidad para gestionar y ocultar los anuncios que se muestran
  • Control de datos a través del Panel de Google

Además, incluso antes de la implementación del GDPR, se han realizado cambios para facilitar la gestión de la información de los usuarios y de los anuncios.

Mejora de la Portabilidad de Datos

Google ofrece diversos servicios como Google Fotos, Drive, Calendario y Gmail. Las medidas que Google está implementando para cumplir con el GDPR (Reglamento General de Protección de Datos) en términos de portabilidad de datos son las siguientes:

  • Ampliación de los servicios y opciones de gestión que permiten la descarga de datos
  • Incorporación de una función para programar descargas de datos de manera periódica

Mejora de herramientas para el consentimiento de los tutores y el uso adecuado de Internet por parte de los niños

En Google, ofrecemos la aplicación Family Link para facilitar a los tutores y a los niños un uso adecuado de Internet. Mediante el uso de Family Link, los tutores pueden crear cuentas para los niños.

La aplicación permite establecer y gestionar reglas en el hogar, como “gestión del tiempo de uso” y “pausa temporal del dispositivo”.

Apoyo a Usuarios y Socios de Negocios

Para cumplir con el Reglamento General de Protección de Datos (GDPR), hemos actualizado la política que requiere que los socios de Google (como anunciantes y operadores de sitios web) soliciten el consentimiento de los usuarios en sitios web y aplicaciones. Otros aspectos destacados incluyen:

  • Provisión de herramientas para apoyar la conformidad con el GDPR
  • Endurecimiento del proceso de certificación para empresas que utilizan los servicios de publicidad de Google
  • Actualización de las condiciones de procesamiento de datos
  • Proporcionar información detallada sobre la portabilidad de datos y notificaciones de incidentes de datos

Fortalecimiento del Programa de Cumplimiento de Privacidad

Para cumplir con el Reglamento General de Protección de Datos (GDPR), estamos fortaleciendo nuestro Programa de Cumplimiento de Privacidad. Las medidas incluyen:

  • Mejora del programa de privacidad
  • Fortalecimiento del proceso de revisión de productos

Además, estamos documentando de manera más exhaustiva el procesamiento de datos.

La adaptación de Facebook al GDPR

Como parte de su adaptación al GDPR, Facebook ha anunciado lo siguiente:

  • Verificación de la obtención de información a partir de anuncios mostrados
  • Opciones de información de perfil
  • Verificación de la tecnología de reconocimiento facial (UE y Canadá)
  • Actualización de los términos de servicio y consentimiento sobre datos
  • Implementación de funciones que facilitan el acceso, eliminación y descarga de información
  • Provisión de información a usuarios jóvenes

A continuación, explicaremos los detalles.

Referencia: Facebook「Cumplimiento del Reglamento General de Protección de Datos (GDPR) y provisión de nuevas protecciones de privacidad[ja]

Verificación de la obtención de información a partir de anuncios mostrados

Los socios de Facebook utilizan la información obtenida a través de clics en el botón “Me gusta” y herramientas proporcionadas por Facebook para mostrar anuncios. Se proporciona información sobre los anuncios a los usuarios y se les permite elegir si desean que la información de los socios se utilice para la visualización de anuncios.

Opciones de información de perfil

El perfil de Facebook puede incluir información sobre puntos de vista políticos, creencias religiosas o relaciones personales. Los usuarios pueden elegir si desean “continuar compartiendo” esta información y si permiten su uso en anuncios.

La información del perfil se puede seleccionar libremente en cualquier momento y, si el usuario lo desea, se puede eliminar fácilmente.

Verificación de la tecnología de reconocimiento facial (UE y Canadá)

Facebook permite a los usuarios de los países miembros de la UE y Canadá elegir si desean utilizar la tecnología de reconocimiento facial. Además, los usuarios de otras regiones también tienen la libertad de elegir.

Actualización de los términos de servicio y consentimiento sobre datos

Se mostrará un acuerdo que incluye información detallada sobre las dudas del mecanismo del servicio, los “Términos de servicio” y la “Política de datos”.

Implementación de funciones que facilitan el acceso, eliminación y descarga de información

Con el uso de la “Herramienta de gestión de datos personales”, es posible verificar y eliminar datos personales. Además, se facilita la descarga y exportación de datos.

Se ha actualizado la función de registro de actividad en dispositivos móviles para facilitar a los usuarios la revisión de la información que han compartido en el pasado.

Provisión de información a usuarios jóvenes

Facebook ya tiene restricciones establecidas para los usuarios adolescentes, que incluyen:

  • Restricciones en categorías de anuncios
  • No uso de reconocimiento facial (menores de 18 años)
  • Restricciones en la visualización y búsqueda de información compartida por usuarios adolescentes

Además, la configuración predeterminada está diseñada para que la información no se publique públicamente.

Para cumplir con el GDPR, Facebook ha establecido regulaciones adicionales. En el caso de los usuarios de los países miembros de la UE, se requiere el permiso de los padres para la visualización de anuncios y la inclusión de información en el perfil (como creencias religiosas y puntos de vista políticos).

En otras regiones, se permite a los usuarios elegir si desean que los datos obtenidos de los socios se utilicen para la visualización de anuncios y si desean publicar información personal en su perfil.

Resumen: El GDPR tiene un alcance más amplio en datos personales que la ley japonesa y su cumplimiento es esencial

GDPR

El GDPR establece diversas disposiciones como la “clarificación de los propósitos de uso para cada dato recopilado”, la “explicación del derecho al olvido y del derecho a la portabilidad de los datos” y la “indicación del período de retención”, ampliando así el rango de derechos de los usuarios más allá de lo que la ley japonesa tradicionalmente ofrecía.

En caso de incumplimiento del GDPR, se pueden imponer sanciones económicas significativas, por lo que las empresas que manejan información personal dentro de la UE deben adaptarse al GDPR. Las empresas que están desarrollando negocios dentro de la UE o que están considerando expandirse en el futuro, deben crear políticas de privacidad que estén en conformidad con el GDPR.

Presentación de Estrategias por Parte de Nuestro Despacho

El Despacho de Abogados Monolith cuenta con una amplia experiencia en IT, especialmente en lo que respecta a Internet y la ley. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos se ha incrementado significativamente. Nuestro despacho ofrece soluciones en el ámbito del derecho internacional.

Áreas de práctica del Despacho de Abogados Monolith: Asuntos Legales Internacionales y Negocios en el Extranjero[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba