MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Cuáles son los puntos clave de la Ley de Protección de Información Personal japonesa reformada en el año Reiwa 6 (2024)? Explicación de los cambios importantes y las medidas de respuesta que se deben conocer

General Corporate

¿Cuáles son los puntos clave de la Ley de Protección de Información Personal japonesa reformada en el año Reiwa 6 (2024)? Explicación de los cambios importantes y las medidas de respuesta que se deben conocer

En abril de 2024 (Reiwa 6), se implementarán las reglas revisadas de la Ley de Protección de Información Personal japonesa. Esta revisión amplía el alcance de la obligación de reportar a la Comisión de Protección de Información Personal japonesa y de notificar a la persona afectada en caso de que ocurra una fuga de información u otros incidentes similares.

El principal punto de esta revisión se centra en abordar problemas recientes relacionados con la información personal, como el web skimming.

Sin embargo, para comprender y responder adecuadamente a los cambios, se requiere conocimiento especializado, y muchas personas pueden no saber qué medidas deben tomar sus empresas. Este artículo explicará los puntos clave de la revisión de 2024 (Reiwa 6) y las estrategias de respuesta.

Resumen de los cambios en la Ley de Protección de Información Personal enmendada en el año Reiwa 6 (2024)

Los cambios notables en la Ley de Protección de Información Personal, enmendada en el año Reiwa 6 (2024), incluyen la expansión de las obligaciones de reporte y notificación en caso de fuga, así como las medidas de seguridad obligatorias, que ahora se aplican a ciertos “datos personales”.

En la regulación anterior, solo los “datos personales” estaban sujetos a la obligación de reporte en caso de fuga, y los “datos personales” no estaban incluidos.

Con esta enmienda, los detalles de los cambios se han publicado en el Artículo 7, Párrafo 3, de las Regulaciones de Implementación de la Ley de Protección de Información Personal Japonesa y en las “Guías de la Ley de Protección de Información Personal Japonesa (Edición General)”[ja].

Ley enmendadaAntes de la enmienda
Obligación de reporte en caso de fuga, etc.Aplicable (en ciertos casos)No aplicable
Obligación de implementar medidas de seguridadAplicable (en ciertos casos)No aplicable
Cambios en el manejo de ciertos datos personales

A continuación, explicaremos en detalle el contenido específico de las regulaciones y los cambios.

Objetivos de la regulación en la Ley de Protección de Información Personal hasta ahora

Objetivos de la regulación en la Ley de Protección de Información Personal hasta ahora

Para comprender el contenido de la ley revisada, es esencial tener un entendimiento preciso de las regulaciones y definiciones establecidas antes de la revisión. Aquí explicaremos las definiciones y contenidos de las regulaciones establecidas previamente.

Diferencia entre información personal y datos personales

En la Ley de Protección de Información Personal, se considera por separado a la “información personal” y a los “datos personales” como objetos de protección.

La “información personal” se refiere a la información relacionada con una persona viva, que puede identificar a un individuo específico mediante descripciones que incluyen el nombre, fecha de nacimiento, entre otros. Esto está definido en el Artículo 2, Párrafo 1, Inciso 1 de la Ley de Protección de Información Personal Japonesa.

Artículo relacionado: Ley de Protección de Información Personal Japonesa enmendada en el año Reiwa 4 (2022) con la nueva instalación de ‘información procesada anónimamente’ para promover el uso de datos[ja]

Por otro lado, los “datos personales” se refieren a la información personal que constituye una base de datos de información personal, según lo establecido en el Artículo 16, Párrafo 1 de la Ley de Protección de Información Personal Japonesa.

Por ejemplo, al crear una lista de asistentes a un evento, la información enviada por los reservistas, como nombres y direcciones, se denomina “información personal”. Y la base de datos creada al compilar la información personal de cada reservista en una hoja de cálculo, por ejemplo, es la “base de datos de información personal”. La información individual que constituye esta base de datos se considera “datos personales”.

Es necesario entender que, en la Ley de Protección de Información Personal, el objeto de protección, ya sea “información personal” o “datos personales”, cambia significativamente el contenido de la regulación.

Obligaciones de notificación y reporte en caso de fuga de información

La Ley de Protección de Información Personal obliga a los operadores de negocios que manejan información personal a reportar a la Comisión de Protección de Información Personal y notificar al individuo afectado en caso de que ocurra una fuga de datos personales.

(Reporte de fugas, etc.)
Artículo 26. Los operadores de negocios que manejan información personal deben reportar a la Comisión de Protección de Información Personal, conforme a lo establecido en las normas de la Comisión, cuando ocurra una situación que involucre la fuga, pérdida, daño u otro incidente relacionado con la seguridad de los datos personales que manejan, y que pueda afectar significativamente los derechos e intereses de los individuos. Sin embargo, esto no aplica si el operador de negocios que maneja información personal ha delegado todo o parte del manejo de dichos datos personales a otro operador de negocios o entidad administrativa, y ha notificado a dicho operador o entidad sobre el incidente, conforme a lo establecido en las normas de la Comisión.
2. En los casos mencionados en el párrafo anterior, los operadores de negocios que manejan información personal (excepto aquellos que han realizado la notificación según lo estipulado en la excepción del párrafo anterior) deben notificar al individuo afectado sobre el incidente, conforme a lo establecido en las normas de la Comisión de Protección de Información Personal. Sin embargo, esto no aplica si es difícil notificar al individuo afectado y se han tomado medidas alternativas necesarias para proteger los derechos e intereses del individuo.

Ley de Protección de Información Personal | Búsqueda de leyes e-Gov[ja]

Las obligaciones de reporte y notificación no se aplican en todos los casos de fuga de información. Solo se requieren en los siguientes cuatro casos especificados en el Artículo 7 de las normas de implementación de la Ley de Protección de Información Personal:

  1. Fuga de datos personales que incluyen información personal sensible (ejemplo: resultados de exámenes médicos de empleados).
  2. Fuga de datos personales que podrían resultar en daños financieros debido a un uso indebido (ejemplo: números de tarjeta de crédito).
  3. Fuga de datos personales que podrían haber sido realizados con un propósito malicioso.
  4. Fuga de información que afecta a más de 1000 individuos.

En esta revisión, se ha modificado el contenido del Artículo 7, inciso 3, de las normas.

¿Qué son las medidas de gestión de seguridad?

La Ley de Protección de Información Personal obliga a los operadores de negocios que manejan información personal a tomar las medidas necesarias y adecuadas para prevenir la fuga de datos personales y para la gestión segura de los mismos.

(Medidas de gestión de seguridad)
Artículo 23. Los operadores de negocios que manejan información personal deben tomar las medidas necesarias y adecuadas para prevenir la fuga, pérdida o daño de los datos personales y para la gestión segura de otros datos personales.

Ley de Protección de Información Personal | Búsqueda de leyes e-Gov[ja]

Como ejemplos concretos, se pueden mencionar el control de acceso, la formación de empleados y el establecimiento de normas.

Regulaciones aplicables antes de la reforma

Antes de la reforma, los sujetos obligados a reportar en caso de fuga de información y a tomar medidas de seguridad eran únicamente aquellos que manejan “datos personales”. En cuanto a la “información personal”, incluso si ocurría una fuga de información, los operadores no estaban obligados a asumir tales responsabilidades.

Sin embargo, la expansión de los sujetos obligados a reportar/notificar y a establecer medidas de seguridad ahora incluye cierta “información personal”, lo cual constituye la reforma actual.

Propósito y objetivo de la modificación del Reglamento de Ejecución de la Ley de Protección de Información Personal

Propósito y objetivo de la modificación del Reglamento de Ejecución de la Ley de Protección de Información Personal

Esta modificación se ha realizado teniendo en cuenta las medidas contra el web skimming. El web skimming es una técnica de ataque que consiste en instalar programas maliciosos en sitios de comercio electrónico, entre otros, para robar información personal.

En concreto, existe un método que permite obtener directamente desde la página de entrada, información como contraseñas e información de tarjetas de crédito que los usuarios han introducido en formularios.

En el caso del web skimming, lo característico es que la información introducida por los usuarios se roba directamente antes de que se integre en la base de datos de información personal del operador del sitio de comercio electrónico, entre otros. En esta forma, lo que se roba es la “información personal” antes de que se convierta en “datos personales”.

Antes de la modificación, la obligación de informar sobre fugas, entre otros, solo se aplicaba a los “datos personales”. Por lo tanto, incluso si se producían daños por web skimming, los operadores de sitios de comercio electrónico no tenían la obligación de informar sobre ello.

El propósito de esta modificación es incluir las fugas de información a través del web skimming como objeto de notificación, ampliando el alcance de la notificación de fugas y las medidas de seguridad hasta incluir la “información personal”.

Contenido de la reforma del Reglamento de Ejecución de la Ley de Protección de Información Personal en el año Reiwa 6 (2024)

Expansión del alcance de la obligación de reportar fugas, entre otros

El artículo 7, párrafo 3 de las Reglas de Ejecución de la Ley de Protección de Información Personal ha sido enmendado como sigue.

Texto reformadoTexto anterior
El artículo 7, artículo 26, párrafo 1 establece que los casos que pueden afectar significativamente los derechos e intereses de las personas y que están definidos por las reglas de la Comisión de Protección de Información Personal, incluirán aquellos que correspondan a cualquiera de los siguientes: situaciones en las que la fuga de datos personales (incluidos aquellos datos personales que el operador de información personal ha adquirido o está intentando adquirir, y que están previstos para ser tratados como datos personales) ha ocurrido o puede ocurrir debido a acciones contra el operador de información personal que podrían haberse realizado con un propósito fraudulento.El artículo 7, artículo 26, párrafo 1 establece que los casos que pueden afectar significativamente los derechos e intereses de las personas y que están definidos por las reglas de la Comisión de Protección de Información Personal, incluirán aquellos que correspondan a cualquiera de los siguientes: situaciones en las que la fuga de datos personales ha ocurrido o puede ocurrir debido a acciones que podrían haberse realizado con un propósito fraudulento.
Reglamento de Ejecución de la Ley de Protección de Información Personal | Búsqueda de leyes e-Gov[ja]

El término “operador de información personal” incluye a los contratistas y proveedores de servicios de manejo de información personal.

Además, si la información personal que el operador de información personal está intentando adquirir se considera como tal, se determinará objetivamente teniendo en cuenta los medios de adquisición de la información personal (Guía General 3-5-3-1).

De esta manera, la expansión del alcance de la obligación de reportar y notificar fugas, entre otros, a ciertos casos de “información personal” es uno de los principales cambios en la reforma del año Reiwa 6 (2024).

Expansión del alcance de las medidas de seguridad

Con la reforma de la regulación de la obligación de reportar fugas, entre otros, también se ha modificado la descripción en la Guía General 3-4-2 de la Ley de Protección de Información Personal.

Las medidas de seguridad que los operadores deben implementar incluyen aquellas necesarias y adecuadas para prevenir la fuga de información personal (incluida la información personal que el operador de información personal ha adquirido o está intentando adquirir) que se prevé tratar como datos personales.

El alcance de las medidas de seguridad también se ha expandido para incluir ciertos casos de “información personal”, no solo “datos personales”.

Referencia: Comisión de Protección de Información Personal | Guía sobre la Ley de Protección de Información Personal (En vigor desde el 1 de abril de Reiwa 6 (2024)) – Edición General

Medidas a tomar debido a la implementación de la Ley de Protección de Información Personal revisada

Medidas a tomar debido a la implementación de la Ley de Protección de Información Personal revisada

Las medidas que se deben tomar en respuesta a la implementación de la Ley de Protección de Información Personal revisada en el año 6 de la era Reiwa (2024) son las siguientes:

  • Revisar la política de privacidad
  • Revisar y dar a conocer las normas internas

Veamos cada una en detalle.

Revisar la política de privacidad

Los operadores de negocios que manejan información personal deben colocar las medidas de seguridad de la información personal que poseen en un estado que pueda ser conocido por la persona en cuestión. Esto incluye también estar en condiciones de responder sin demora a las solicitudes de la persona (Artículo 32, párrafo 1, ítem 4 de la Ley Japonesa de Protección de Información Personal).

Los operadores de negocios que han estado abordando este requisito mediante la inclusión de medidas de seguridad de información personal en su política de privacidad deben prestar atención. Es necesario añadir a la política de privacidad que cierta información personal ahora está incluida en las medidas de seguridad.

Revisar y dar a conocer las normas internas

Es necesario reflejar en las normas internas y dar a conocer a los empleados que ahora existe una obligación de reportar y notificar incluso en casos de fuga de cierta información personal.

Los casos de fuga de información personal que ahora se convierten en objeto de reporte no se limitan al web skimming.

Por ejemplo, si un operador de negocios que maneja información personal envía a un cliente un sobre de respuesta con la dirección alterada y la información personal escrita en el formulario de encuesta dentro del sobre termina en manos de un tercero, este incidente de fuga de información se convierte en un caso sujeto a la obligación de reporte y notificación si se esperaba que la información fuera tratada como datos personales.

Debido a que el tratamiento de cierta información personal que anteriormente no generaba obligaciones ahora ha cambiado, es necesario instar a los empleados a prestar atención.

Resumen: Consulte a un experto para adaptarse a la reforma de la Ley de Protección de Datos Personales

En la reforma del año 2024 (Reiwa 6) de la Ley Japonesa de Protección de Datos Personales, se han ampliado los objetivos de las medidas de seguridad y las obligaciones de notificación y reporte en caso de fuga, teniendo en cuenta la protección contra el web skimming. Antes de la reforma, solo se consideraban los “datos personales”, pero ahora, en ciertos casos, también se incluye la “información personal”.

Esta reforma requiere la adopción de medidas como la revisión de las políticas de privacidad y las normativas internas.

En cuanto al manejo de la información personal, un error en las medidas puede resultar en un gran riesgo, como la pérdida de confianza social. Se recomienda consultar a un abogado cuando se trate de estas adaptaciones.

Guía de medidas por parte de nuestro despacho

Monolith Law Office es un despacho de abogados con amplia experiencia en IT, especialmente en Internet y derecho. En los últimos tiempos, la fuga de información personal se ha convertido en un problema significativo. En caso de que se produzca una fuga de información personal, esto podría tener un impacto fatal en las actividades Negocios. Nuestro despacho posee conocimientos especializados en la prevención de fugas de información y en las medidas de respuesta. Los detalles se describen en el artículo a continuación.

Áreas de práctica de Monolith Law Office: Leyes relacionadas con la protección de información personal japonesa[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba