Explicación de los puntos a tener en cuenta sobre el 'Deber del Operador' en la Ley de Protección de Información Personal enmendada en el año 4 de la era Reiwa (2022)
Desde abril de 2022 (Año 2022 del calendario gregoriano), se ha implementado la Ley de Protección de Información Personal revisada en Japón. La Ley Japonesa de Protección de Información Personal tiene como objetivo garantizar el manejo adecuado de la información personal, protegiendo los derechos e intereses de los individuos mientras se considera la utilidad de la información personal. Entonces, ¿qué cambios específicos trae la implementación de la Ley de Protección de Información Personal revisada? En esta ocasión, explicaremos los derechos de los individuos y las obligaciones de los operadores comerciales.
Reforma y antecedentes de la Ley Japonesa de Protección de Datos Personales
La Ley Japonesa de Protección de Datos Personales, que fue promulgada en 2003 y entró en plena vigencia en 2005, fue reformada en 2015, diez años después de su implementación, debido a que “el desarrollo de las tecnologías de la información y la comunicación ha permitido el uso de datos personales de una manera que no se anticipó en el momento de su promulgación”. La reforma entró en plena vigencia en 2017.
Esta reforma de 2017 incluye una “cláusula de revisión cada tres años”, que estipula que “se revisará el contenido de acuerdo con la realidad cada tres años, teniendo en cuenta las tendencias internacionales, el avance de la tecnología de la información, y la creación y desarrollo de nuevas industrias”.
Provisiones relacionadas en el apéndice de la Ley de Reforma de la Ley Japonesa de Protección de Datos Personales de 2017 (extracto)
Artículo 12 (Consideración)
(Omitido)
2 El gobierno, con el objetivo de tres años después de la implementación de esta ley, considerará las mejoras necesarias para llevar a cabo de manera efectiva la formulación y promoción de políticas básicas para la protección de datos personales y otras tareas bajo la jurisdicción de la Comisión de Protección de Datos Personales, teniendo en cuenta la situación de la organización del personal necesario, la garantía de recursos financieros y otras medidas. Cuando se considere necesario, se tomarán las medidas necesarias basadas en los resultados de la consideración.
3 Además de los asuntos estipulados en el párrafo anterior, el gobierno, con el objetivo de tres años después de la implementación de esta ley, considerará la situación de la implementación de la nueva Ley de Protección de Datos Personales, teniendo en cuenta las tendencias internacionales en la protección de datos personales, el avance de las tecnologías de la información y la comunicación, y la creación y desarrollo de nuevas industrias que utilizan datos personales. Cuando se considere necesario, se tomarán las medidas necesarias basadas en los resultados de la consideración.
4, 5 (Omitido)
6 El gobierno, teniendo en cuenta la situación de la implementación de la nueva Ley de Protección de Datos Personales, la situación de la implementación de las medidas del párrafo 1 y otras circunstancias, considerará la forma en que debería ser la legislación sobre la protección de datos personales, incluyendo la consolidación de las disposiciones sobre la protección de datos personales y los datos personales en poder de las entidades administrativas, tal como se estipula en el artículo 2, párrafo 1, de la nueva Ley de Protección de Datos Personales.
La reforma de la Ley Japonesa de Protección de Datos Personales del año Reiwa 4 (2022) es la primera reforma legal basada en esta “cláusula de revisión cada tres años”.
Artículo relacionado: ¿Qué es la Ley de Protección de Datos Personales y los datos personales? Explicación de un abogado[ja]
Resumen de la Ley de Protección de Información Personal Japonesa enmendada en el año Reiwa 4 (2022)
La enmienda de la Ley de Protección de Información Personal Japonesa en 2022 se lleva a cabo en los siguientes seis puntos:
- La naturaleza de los derechos individuales
- La naturaleza de las obligaciones que deben proteger los empresarios
- La naturaleza del sistema para promover los esfuerzos voluntarios de los empresarios
- La naturaleza de la utilización de datos
- La naturaleza de las penalidades
- La naturaleza de la aplicación extraterritorial de la ley y la transferencia transfronteriza
En este artículo, explicaremos los puntos 1 y 2 de la enmienda.
Artículo relacionado: Explicación sobre las ‘penalidades’ en la Ley de Protección de Información Personal Japonesa enmendada en el año Reiwa 4 (2022)[ja]
La naturaleza de los derechos individuales
Se han realizado cinco cambios en relación a la naturaleza de los derechos individuales.
Ampliación del derecho individual a solicitar la suspensión de uso y eliminación (Artículo 30 de la Ley Japonesa de Protección de Datos Personales)
La ley actual limita el derecho individual a solicitar la suspensión de uso y eliminación a casos de violación de la ley, como cuando se utiliza información personal para fines no previstos o cuando se obtiene por medios ilegales. Sin embargo, la ley revisada permite solicitar la suspensión de uso, eliminación y cese de provisión a terceros también en casos en que ya no es necesario que el operador del negocio maneje los datos personales retenidos, cuando se produce una fuga de datos, o cuando existe el riesgo de que los derechos o intereses legítimos del individuo sean perjudicados.
Método de divulgación de datos personales retenidos (Artículo 28 de la Ley Japonesa de Protección de Datos Personales)
Si eres el titular de los datos, puedes solicitar al operador del negocio que maneja la información personal que revele los datos personales retenidos. Al recibir la solicitud, el operador del negocio debe revelar los datos personales retenidos como regla general. La ley actual establece que la divulgación de los datos personales retenidos se realiza principalmente por escrito. Sin embargo, hay situaciones en las que la entrega por escrito no es adecuada cuando la cantidad de información es enorme, y además, hay datos que no son adecuados para la entrega por escrito, como los datos de video y audio. Por lo tanto, la ley revisada permite al titular de los datos solicitar la divulgación “por el método especificado por el titular de los datos”, como la provisión de registros electromagnéticos. El operador del negocio tiene la obligación de revelar de acuerdo con el método solicitado por el titular de los datos.
Se requiere que las empresas que manejan información personal establezcan rápidamente un sistema para responder a las solicitudes de divulgación de datos digitales.
Solicitud de divulgación de registros de provisión a terceros por parte del titular de los datos (Artículo 28, párrafo 5 de la Ley Japonesa de Protección de Datos Personales)
El operador del negocio que maneja la información personal debe crear un registro prescrito por la ley cuando proporciona datos personales a un tercero, y la persona que recibe la provisión de un tercero también debe crear un registro prescrito por la ley. Estos registros relacionados con la provisión de datos personales a terceros y los registros de verificación al recibir la provisión de datos personales a terceros se denominan conjuntamente “registros de provisión a terceros”.
La ley actual no permitía al titular de los datos solicitar la divulgación de los registros de provisión a terceros creados por el operador del negocio, pero la ley revisada permite al titular de los datos solicitar la divulgación de los registros de provisión a terceros, teniendo en cuenta la posibilidad de seguimiento por parte del titular de los datos.
Inclusión de datos de almacenamiento a corto plazo en los datos personales retenidos (Artículo 2, párrafo 7 de la Ley Japonesa de Protección de Datos Personales)
La ley actual define los datos personales retenidos como “datos personales sobre los cuales el operador del negocio tiene la autoridad para realizar la divulgación, corrección, adición o eliminación del contenido, suspensión de uso, eliminación y cese de provisión a terceros”, “aquellos que se determinan por ordenanza gubernamental como aquellos cuya existencia se hará evidente y dañará el interés público u otros intereses” o “aquellos que se eliminarán dentro del período prescrito por ordenanza gubernamental dentro de un año”, excluyendo “aquellos que se eliminarán dentro del período prescrito por ordenanza gubernamental dentro de un año”, que se estableció en seis meses.
Sin embargo, incluso si se eliminan en un corto período de tiempo, existe la posibilidad de que ocurran fugas de datos durante el período hasta que se eliminen, por lo que la ley revisada incluye los datos de almacenamiento a corto plazo que se eliminarán dentro de los seis meses en los “datos personales retenidos”.
Limitación del alcance de la disposición de exclusión voluntaria (Artículo 23, párrafo 2 de la Ley Japonesa de Protección de Datos Personales)
La disposición de exclusión voluntaria es un “sistema que permite proporcionar datos personales a un tercero sin el consentimiento del titular de los datos, con la premisa de que se detendrá si el titular de los datos lo solicita, después de publicar los elementos de los datos personales a proporcionar, etc.”, pero la ley actual solo excluía la información personal que requiere consideración.
La ley revisada limita el alcance de los datos personales que se pueden proporcionar a terceros, y también excluye “datos personales obtenidos ilegalmente” y “datos personales proporcionados por la disposición de exclusión voluntaria”.
La naturaleza de las obligaciones que deben cumplir los operadores comerciales
Se han realizado dos cambios en relación con la naturaleza de las obligaciones que deben cumplir los operadores comerciales.
Obligación de informar sobre fugas de información (Artículo 22, párrafo 2)
En la ley actual, la notificación de fugas de información no es una obligación legal, por lo que algunos operadores comerciales no responden de manera proactiva. Si el operador comercial no hace pública la información, existe la posibilidad de que la Comisión de Protección de Información Personal no pueda entender el caso y no pueda responder adecuadamente. En la ley revisada, si se produce una fuga de información y existe un gran riesgo de daño a los derechos e intereses de las personas, se ha hecho obligatorio informar a la Comisión de Protección de Información Personal y notificar a la persona en cuestión.
Los casos sujetos a la obligación de informar sobre fugas de información incluyen “fugas de información personal que requieren consideración”, “fugas debido a accesos no autorizados”, “fugas que pueden causar daño patrimonial”, independientemente del número de casos, y “fugas a gran escala” que superan los 1000 casos.
Prohibición del uso de métodos inapropiados (Artículo 16, párrafo 2)
Con el rápido avance de las técnicas de análisis de datos, se ha observado un aumento en las formas de uso de la información personal que pueden potencialmente infringir los derechos e intereses de las personas, lo que ha aumentado la preocupación de los consumidores. En respuesta a esto, la ley revisada ha aclarado que no se debe utilizar la información personal de manera inapropiada, como fomentar actos ilegales o injustos.
Los “métodos inapropiados que fomentan actos ilegales o injustos” incluyen “proporcionar información personal a terceros que realizan actos ilegales” y “recopilar y convertir en base de datos información personal que se ha hecho pública de manera dispersa a través de anuncios judiciales, etc., y publicarla en Internet, a pesar de que es previsible que esto pueda provocar discriminación”. Se supone que estos son casos bastante maliciosos.
Resumen
En este artículo, hemos explicado los puntos de revisión 1 y 2. Los puntos de revisión 3, 4, 5 y 6 se explicarán en otro artículo.
Artículo relacionado: Explicación sobre las ‘penalidades’ en la Ley de Protección de Información Personal japonesa revisada en el año 4 de la era Reiwa (2022)[ja]
Presentación de las medidas propuestas por nuestro despacho
El despacho de abogados Monolis es una firma legal con alta especialización en IT, especialmente en aspectos de Internet y derecho. La recién reformada ‘Ley Japonesa de Protección de Datos Personales’ está atrayendo mucha atención, y la necesidad de verificaciones legales está aumentando cada vez más. En nuestro despacho, proporcionamos soluciones relacionadas con la propiedad intelectual. Los detalles se describen en el artículo a continuación.