¿Qué es la divulgación de información que las empresas deben realizar en caso de una fuga de información?
En caso de que se produzca una fuga de información, puede ser necesario tomar medidas administrativas, como informar, dependiendo de la situación. Además de responder a la administración, también es necesario revelar información de manera adecuada sobre “qué tipo de información”, “cuándo” y “cómo se filtró”.
Por lo tanto, en este artículo, dirigido a los departamentos legales de las empresas, explicaremos la divulgación de información que las empresas deben realizar en caso de una fuga de información.
Diferencias entre la respuesta administrativa y la divulgación de información
En caso de una fuga de información personal, se requerirá una respuesta a las regulaciones administrativas, como la Ley de Protección de Información Personal (Ley Japonesa de Protección de Información Personal). Sin embargo, solo responder a nivel administrativo puede ser insuficiente como respuesta corporativa.
Por ejemplo, si una empresa causa una fuga de información, puede haber un impacto social.
Además, si se trata de una empresa cotizada, existe la necesidad de divulgar información rápidamente a los accionistas, clientes, proveedores y otros stakeholders.
Si bien la respuesta administrativa tiene un aspecto de cumplimiento con la ley, la divulgación de información que realiza la empresa tiene un fuerte aspecto de cumplir con su responsabilidad social como empresa que maneja información.
Sobre la divulgación oportuna de las empresas cotizadas
En el caso de las empresas cotizadas, se les obliga a divulgar información, ya que si se produce una fuga de información, puede tener un impacto en un amplio rango.
Por ejemplo, en las normas de cotización de valores publicadas por la Bolsa de Valores de Tokio, se establecen las siguientes disposiciones sobre la divulgación oportuna:
(Divulgación de información de la empresa)
Bolsa de Valores de Tokio | Normas de cotización de valores[ja]
Artículo 402
Las empresas cotizadas, en cualquiera de los siguientes casos (excepto aquellos que cumplen con los estándares establecidos en las reglas de implementación y otros que la Bolsa reconoce como de impacto mínimo en las decisiones de inversión de los inversores), deben divulgar inmediatamente su contenido de acuerdo con lo establecido en las reglas de implementación.
(Omitido)
x Además de los hechos enumerados de a a w, hechos importantes relacionados con la gestión, operaciones o propiedades de la empresa cotizada o con las acciones cotizadas, etc., que tienen un impacto significativo en las decisiones de inversión de los inversores.
Se considera que la ocurrencia de una fuga de información corresponde a “hechos importantes relacionados con la gestión, operaciones o propiedades de la empresa cotizada o con las acciones cotizadas, etc., que tienen un impacto significativo en las decisiones de inversión de los inversores”, por lo que se considera necesario realizar una divulgación oportuna.
Concretamente, se puede considerar la divulgación de un resumen de la fuga de información que ha ocurrido, las circunstancias de la fuga de información, y las perspectivas futuras para responder a la fuga de información que ha ocurrido.
Sobre la divulgación de información que las empresas deberían realizar voluntariamente
Como se mencionó anteriormente, hay casos en los que se realiza la divulgación de información de acuerdo con las regulaciones de cotización de valores, pero las empresas también pueden considerar la divulgación de información voluntariamente con el propósito de gestionar riesgos.
En qué casos se debe divulgar información
En cuanto a la divulgación de información voluntaria, dado que es voluntaria, las empresas pueden elegir, en teoría, entre no divulgar información y divulgarla.
Por lo tanto, es importante para las empresas definir claramente los criterios para elegir si divulgar información o no.
El primer criterio podría ser si se considera realista que el daño causado por la filtración de información se amplíe o no.
Si bien se ha producido una filtración de información, si se considera que no tiene un impacto real, la necesidad de divulgar información voluntariamente puede ser baja.
Si se divulga información voluntariamente cuando no se considera realista que el daño causado por la filtración de información se amplíe, podría causar confusión y agravar la situación.
El segundo criterio podría ser si se reconoce que la divulgación de información puede ampliar el daño causado por la filtración de información.
Si se revela que ha habido una filtración de información a pesar de que no se ha podido responder adecuadamente a ella, podría llamar la atención de aquellos que intentan obtener información ilegalmente, lo que podría dar lugar a más filtraciones de información.
En ese caso, la divulgación voluntaria de información podría ampliar el daño causado por la filtración de información, lo que podría resultar en una mayor infracción de derechos.
Sin embargo, estos criterios no son necesariamente generalizables, y es necesario examinar cuidadosamente los criterios para decidir si divulgar información o no en cada caso, y juzgar la conveniencia de la divulgación de información.
Sobre los asuntos que se deben divulgar
Cuando se divulga información, es necesario considerar cuidadosamente los asuntos que se deben divulgar.
Los asuntos que se deben divulgar pueden incluir, por ejemplo, los siguientes:
- El tipo de filtración de información que ha ocurrido
- El día en que la empresa se dio cuenta de que había ocurrido una filtración de información
- El día en que ocurrió la filtración de información
- Cómo se descubrió que había ocurrido una filtración de información
- La causa de la filtración de información
- El contenido del daño que podría ser causado por la filtración de información
- Si existe o no el riesgo de que el daño se amplíe en el futuro o de que se produzcan daños secundarios
- Las medidas que la empresa ha tomado en respuesta a la filtración de información
- El contenido de la investigación sobre la causa de la filtración de información
- Si se ha informado o no a la policía, etc.
Sin embargo, los asuntos que se deben divulgar pueden variar según el caso, por lo que es necesario juzgar individualmente en cada caso.
Sobre el método de divulgación de información
Los métodos de divulgación de información pueden incluir, por ejemplo, los siguientes:
- Publicar en el sitio web de la empresa
- Realizar un anuncio en forma de conferencia de prensa a los medios de comunicación
- Contactar individualmente a las personas que podrían ver sus derechos e intereses infringidos por la filtración de información
Los métodos de divulgación de información mencionados anteriormente son solo ejemplos, y es necesario elegir el método adecuado en cada caso.
Puntos a tener en cuenta al realizar una conferencia de prensa a los medios de comunicación
Cuando se realiza una conferencia de prensa, el contenido de la divulgación de información se dará a conocer a muchas personas. Por lo tanto, es necesario considerar cuidadosamente si es apropiado divulgar información a través de una conferencia de prensa.
Por ejemplo, si no hay más información que la que la empresa ya ha divulgado en su sitio web, etc., incluso si se realiza una conferencia de prensa, no se podrá divulgar nueva información. Si se realiza una conferencia de prensa sin nueva información, las personas que vean la conferencia de prensa pueden tener la impresión de que la empresa no está divulgando información adecuadamente y no está cumpliendo con su responsabilidad de explicar, lo que podría dar la impresión de que es una empresa deshonesta, por lo que se debe tener cuidado.
Además, en algunos casos, puede ser prácticamente difícil retractarse o corregir lo que se ha dicho en una conferencia de prensa.
Por lo tanto, es necesario prepararse cuidadosamente para lo que se va a decir en la conferencia de prensa, como decidir de antemano lo que se va a decir con la ayuda de expertos como abogados.
Puntos a tener en cuenta al contactar individualmente a las personas que podrían ver sus derechos e intereses infringidos por la filtración de información
Si se identifica a las personas que podrían ver sus derechos e intereses infringidos por la filtración de información, se considera deseable contactar individualmente a estas víctimas antes de divulgar públicamente los hechos de la filtración de información.
Si se da el paso de hacer una declaración pública antes de contactar individualmente a las víctimas, las víctimas pueden desconfiar de la empresa y fortalecer su conciencia de hostilidad.
Además, si se hace una declaración pública antes de contactar individualmente a las víctimas, a pesar de que era posible hacerlo, la confianza social en la empresa podría verse dañada.
¿Cómo pueden las empresas prevenir la fuga de información?
Hasta ahora, hemos explicado qué debe hacer una empresa en caso de una fuga de información, pero lo más importante es prevenir la fuga de información en primer lugar.
El Artículo 23 de la Ley de Protección de Información Personal Japonesa (Ley de Protección de Datos Personales) establece lo siguiente en relación con las medidas de gestión de seguridad:
(Medidas de gestión de seguridad)
e-Gov|Ley de Protección de Información Personal Japonesa[ja]
Artículo 23: Los operadores de negocios que manejan información personal deben tomar medidas necesarias y apropiadas para prevenir la fuga, pérdida o daño de los datos personales que manejan, y para la gestión segura de los datos personales.
Las medidas de gestión de seguridad pueden incluir, por ejemplo, las siguientes:
- Establecimiento de una política básica para el manejo de datos personales
- Establecimiento de reglas para el manejo de datos personales
- Organización de la estructura organizativa
- Operación de acuerdo con las reglas para el manejo de datos personales
- Establecimiento de medios para verificar el estado del manejo de datos personales
- Preparación de un sistema para responder a incidentes de fuga de información
- Comprensión del estado del manejo de datos personales y revisión de las medidas de gestión de seguridad
- Educación para los empleados que manejan datos personales
- Implementación de medidas de seguridad física para prevenir la fuga de datos personales
- Implementación de medidas de seguridad técnicas para prevenir la fuga de datos personales
Creemos que al implementar las medidas de seguridad mencionadas anteriormente, de acuerdo con la situación de la empresa, se puede reducir el riesgo de fuga de información.
Resumen: Consulta a un abogado sobre la divulgación de información en caso de filtraciones de datos
En este artículo, hemos explicado a los departamentos legales de las empresas qué deben hacer en términos de divulgación de información si se produce una filtración de datos.
Lo mejor sería que no ocurrieran filtraciones de datos, pero en la práctica, es difícil prevenirlos al 100%.
Por lo tanto, si se produce una filtración de datos, es importante que la empresa tome las medidas adecuadas.
En cuanto a la respuesta a las filtraciones de datos, se requiere una consideración cuidadosa de acuerdo con el caso, por lo que recomendamos consultar a un abogado con conocimientos especializados.
Información sobre las medidas tomadas por nuestro despacho
El despacho de abogados Monolith es un despacho de abogados con alta especialización en IT, especialmente en Internet y derecho. El conocimiento especializado es esencial para la formulación de regulaciones internas. En nuestro despacho, revisamos una variedad de casos, desde empresas cotizadas en la Bolsa de Tokio hasta startups.