MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Promoción del uso eficiente de datos con la nueva implementación de 'Información Procesada en Kana' y otras revisiones en la Ley de Protección de Información Personal Japonesa en el año 4 de la era Reiwa (2022)

General Corporate

Promoción del uso eficiente de datos con la nueva implementación de 'Información Procesada en Kana' y otras revisiones en la Ley de Protección de Información Personal Japonesa en el año 4 de la era Reiwa (2022)

Las leyes relacionadas con el manejo de la información personal se modifican con frecuencia, cambiando para adaptarse a cada época. Los operadores de negocios que manejan información personal deben estar al tanto de estos cambios y preparar sus sistemas internos de manera oportuna.

El fortalecimiento de los derechos individuales, los cambios relacionados con la provisión a terceros, incluyendo el extranjero, la introducción de “información procesada de forma anónima” y “información relacionada con individuos”, son solo algunos de los puntos que se modificarán con la revisión de la Ley de Protección de Información Personal (Ley Japonesa de Protección de Información Personal) en 2022. Los operadores de negocios deben entender correctamente qué revisiones se han realizado y qué medidas deben tomar.

Por lo tanto, explicaremos los puntos de verificación para la respuesta práctica de los operadores de negocios que manejan información personal a la “Ley de Protección de Información Personal” (Ley Japonesa de Protección de Información Personal), que fue revisada y establecida el 1 de abril de 2022 (4º año de Reiwa, 2022 en el calendario gregoriano).

¿Qué es la Ley de Protección de Datos Personales?

Ley de Protección de Datos Personales

La “Ley de Protección de Datos Personales”, cuyo nombre oficial es “Ley sobre la Protección de Datos Personales”, es una ley que establece el manejo adecuado de la información personal (regulación de los métodos de adquisición, uso, almacenamiento, gestión, provisión, divulgación, suspensión y eliminación) con el objetivo de equilibrar la utilidad de la información personal y la protección de los derechos e intereses de las personas.

La “Comisión de Protección de Datos Personales” tiene jurisdicción sobre esta ley, y se establecen obligaciones que deben cumplir todas las instituciones administrativas y operadores comerciales privados que manejan bases de datos de información personal, así como las sanciones en caso de incumplimiento.

Antecedentes de la modificación de la Ley de Protección de Datos Personales Japonesa

La Ley de Protección de Datos Personales Japonesa se promulgó el 23 de mayo del año Heisei 15 (2003) (Ley Nº 57 del 30 de mayo del año Heisei 15), y todas las disposiciones, excepto los capítulos 4 a 6 que incluyen sanciones y están directamente relacionadas con las empresas en general, se implementaron de inmediato. La ley entró en plena vigencia el 1 de abril del año Heisei 17 (2005).

En la revisión del año Heisei 27 (2015), se incluyó una disposición para revisar la ley cada tres años, en respuesta a la digitalización de toda la sociedad y la necesidad de equilibrar la “protección de la información personal” con la “utilización de datos personales”, así como la armonización con los sistemas internacionales.

La ley revisada, que entró en vigor en mayo del año Heisei 29 (2017), introdujo nuevos conceptos como “código de identificación personal”, “información personal que requiere consideración” e “información procesada de forma anónima”. Además, se estableció un nuevo sistema de trazabilidad (garantía de rastreabilidad), se introdujo la obligación de esforzarse por eliminar los datos personales, se limitó la provisión de datos a terceros en el extranjero y se creó la Comisión de Protección de Datos Personales, cambiando el sistema de supervisión de un ministro principal a un sistema de supervisión unificado por la Comisión de Protección de Datos Personales.

Y entonces, el 1 de abril del año Reiwa 4 (2022), se implementó la Ley de Protección de Datos Personales revisada.

Esta ley fue promulgada el 12 de junio del año Reiwa 2 (2020), y es la revisión más grande de la “Ley de Protección de Datos Personales” desde el punto de vista de la integración y unificación de las tres leyes relacionadas con la protección de datos personales (Ley de Protección de Datos Personales, Ley de Protección de Datos Personales de las Instituciones Administrativas y Ley de Protección de Datos Personales de las Corporaciones Administrativas Independientes).

Además de la unificación de las definiciones de información personal entre el sector público y privado, la ley revisada incluye varios cambios en respuesta a la necesidad de adaptarse a la era global de la inteligencia artificial y los macrodatos, y de fortalecer la protección de los derechos e intereses de las personas.

Entre los cambios específicos se incluyen la introducción de “información procesada con pseudónimos” e “información relacionada con individuos” en los datos personales, y el endurecimiento y aumento de las sanciones para el manejo de datos personales poseídos, incluyendo los del extranjero. Además, en caso de fugas, pérdidas o daños, se ha hecho obligatorio informar a la Comisión de Protección de Datos Personales y notificar a la persona afectada.

En otras palabras, los operadores extranjeros que manejan información personal, etc., relacionada con personas en Japón también están sujetos a la recopilación de informes administrativos y órdenes, y se aplican sanciones. Para más detalles sobre las sanciones, consulte este artículo.

Artículo relacionado: Explicación de las ‘sanciones’ en la Ley de Protección de Datos Personales revisada en el año Reiwa 4 (2022)[ja]

Además, el 1 de abril del año 2023 (Reiwa 5), se implementará en su totalidad una ley revisada que unifica la regulación bajo la jurisdicción de la “Comisión de Protección de Datos Personales” con el objetivo de corregir el desequilibrio y la inconsistencia en el nivel de protección debido a las diferencias en las disposiciones y operaciones de las ordenanzas de protección de datos personales de cada entidad pública local, las reglas legales en el campo médico y las disposiciones excepcionales en el campo académico.

Seis puntos clave de la reforma de la Ley de Protección de Datos Personales del año 2022 (Reiwa 4)

Seis puntos clave de la reforma de la Ley de Protección de Datos Personales del año 2022 (Reiwa 4)

La Ley de Protección de Datos Personales, que fue reformada y establecida en el año 2020 (Reiwa 2), se modificó con el objetivo de ser un “sistema que permite que los resultados de la innovación tecnológica en torno a la información personal y relacionada con las personas se difundan tanto en el crecimiento económico como en la protección de los derechos e intereses de las personas”, teniendo en cuenta los cambios en la situación social y económica desde las siguientes cinco perspectivas:

  1. Protección de los derechos e intereses de las personas
  2. Fortalecimiento de la protección y utilización de los resultados de la innovación tecnológica
  3. Armonización y cooperación del sistema a nivel internacional
  4. Respuesta al riesgo asociado con el aumento del flujo de datos transfronterizos
  5. Adaptación a la era de la inteligencia artificial y los grandes datos (Big Data)

Fuente: Comité de Protección de Datos Personales ‘Escuchando sobre la reforma de la Ley de Protección de Datos Personales Reiwa 2 | Promoción del uso y manejo adecuado de la información personal'[ja]

Los seis puntos clave de la reforma de la Ley de Protección de Datos Personales del año 2022 (Reiwa 4) son los siguientes:

  1. Expansión del derecho de solicitud del individuo
  2. Añadido de las obligaciones del operador del negocio
  3. Promoción de los esfuerzos voluntarios del operador del negocio
  4. Promoción del uso de datos
  5. Fortalecimiento de las penalidades
  6. Expansión de la aplicación extraterritorial, etc.

Para adaptarse a la “Ley de Protección de Datos Personales” reformada, que entró en vigor el 1 de abril de 2022 (Reiwa 4), los operadores de negocios que manejan información personal deben revisar y modificar su sistema de gestión de protección de datos personales, políticas de privacidad, reglamentos internos, contenido del contrato (términos de uso, etc.). Se recomienda revisar el sistema de gestión de información personal de su empresa, utilizando como referencia las “Directrices de la Ley de Protección de Datos Personales” y los materiales de formación que se actualizan periódicamente por el Comité de Protección de Datos Personales (PPC).

Además, para obtener una explicación detallada de las obligaciones del operador del negocio que se han añadido en esta reforma, consulte el siguiente artículo.

Artículo relacionado: Explicación de los puntos a tener en cuenta sobre las ‘Obligaciones del operador del negocio’ en la Ley de Protección de Datos Personales reformada en 2022 (Reiwa 4)[ja]

El estado de los derechos individuales sobre los datos personales

Aquí explicaremos los derechos relacionados con los datos personales que se han ampliado con esta revisión, y qué tipo de respuesta será necesaria en la práctica.

 Flexibilización de los requisitos para solicitar la suspensión del uso, eliminación y suspensión de la provisión a terceros

Antes de la revisión, las solicitudes para suspender el uso, eliminar o detener la provisión de información personal a terceros solo eran posibles en casos de uso fuera del propósito o adquisición ilegal. Sin embargo, con la ley revisada, también es posible hacer solicitudes cuando existe el riesgo de que los derechos o intereses legítimos del individuo se vean perjudicados. Además, estas solicitudes también son posibles cuando ya no es necesario utilizar la información personal.

Por lo tanto, después de la revisión, se espera que aumente el número de estas solicitudes a los operadores de negocios de manejo de información personal. Por parte de los operadores, será necesario asegurar recursos y reorganizar manuales, etc., para responder a estas solicitudes.

Además, para determinar si “ya no es necesario usarlo”, será necesario tener un sistema que pueda verificar el propósito del uso para cada dato personal en posesión.

 Expansión de las solicitudes de divulgación por parte del individuo

El alcance de las “solicitudes de divulgación de datos personales en posesión” por parte del individuo se ha ampliado, y ahora también es posible solicitar la divulgación de los registros de provisión a terceros relacionados con la recepción de datos personales por parte de los operadores de negocios de manejo de información personal.

Además, hasta ahora, las solicitudes de divulgación solo se podían entregar por escrito, pero ahora es posible elegir la divulgación por el método especificado por el individuo (divulgación mediante la provisión de registros electromagnéticos). Como resultado, se espera que aumente el número de solicitudes de divulgación en línea a los operadores de negocios de manejo de información personal. Por parte de los operadores, se requerirán esfuerzos técnicos y organizativos para poder realizar la divulgación mediante la provisión de registros electromagnéticos.

Los operadores de negocios de manejo de información personal deben, cuando el individuo solicita la divulgación especificando el método de provisión de los datos personales en posesión, divulgar de la manera solicitada, a menos que sea difícil hacerlo de la manera especificada.

Los operadores de negocios de manejo de información personal pueden establecer el formato de archivo de los registros electromagnéticos (formato PDF, formato Word, etc.) y el método de provisión de los registros electromagnéticos (envío de los registros electromagnéticos guardados en un medio de grabación por correo, envío de los registros electromagnéticos adjuntos a un correo electrónico, permitiendo la descarga de los registros electromagnéticos en un sitio web, etc.), y si es difícil divulgar de la manera especificada por el individuo, es suficiente divulgar de una manera que sea posible. Sin embargo, desde el punto de vista de mejorar la conveniencia del individuo, se considera deseable responder de la manera más cercana posible a los deseos del individuo.

Fuente: Comisión de Protección de Información Personal ‘Preguntas y respuestas sobre las directrices de la Ley de Protección de Información Personal | A9-10′[ja]

Expansión del alcance de los datos personales en posesión que son objeto de divulgación, etc.

Antes de la revisión, se consideraba que los datos personales de almacenamiento a corto plazo que se eliminarían dentro de los 6 meses no estaban incluidos en los “datos personales en posesión”, pero con la ley revisada, se convirtieron en objeto de los “datos personales en posesión” independientemente del período de almacenamiento.

Por lo tanto, los operadores de negocios de manejo de información personal que habían organizado la información personal fuera del alcance de las solicitudes por razones de almacenamiento a corto plazo antes de la revisión necesitarán revisar su manejo.

Fortalecimiento de la regulación de opt-out: adición de elementos de notificación, publicación y declaración

Se han añadido los siguientes elementos a los que se debe notificar al individuo, publicar y declarar a la Comisión de Protección de Información Personal.

  • Nombre, etc., del operador de negocios de manejo de información personal que proporciona a terceros
  • Método de adquisición de los datos personales que se proporcionan a terceros

Si se utilizaba el “método de opt-out”, no había problema siempre que se anunciara de antemano al individuo que “se proporcionará información personal a terceros” y que “se detendrá la provisión a terceros si el individuo lo desea”.

Con esta revisión de la ley, si se intenta proporcionar datos personales a terceros mediante el “método de opt-out”, se debe informar previamente a la Comisión de Protección de Información Personal. Además, si se detiene la provisión de opt-out, se ha hecho obligatorio presentar una declaración de cambio a ese efecto.

Por lo tanto, los operadores de negocios que proporcionan a terceros mediante el “método de opt-out” necesitarán hacer modificaciones, etc., a su política de privacidad que realiza notificaciones y publicaciones para ese propósito.

Fortalecimiento de la regulación de opt-out: prohibición del doble opt-out

Además de la “información personal que requiere consideración”, los “datos personales adquiridos ilegalmente” que no son objeto del “método de opt-out” también se han incluido en el alcance de la regulación, y se ha establecido una nueva prohibición de doble opt-out que prohíbe proporcionar nuevamente los datos personales adquiridos mediante el “método de opt-out” mediante el “método de opt-out”.

Por lo tanto, los operadores de negocios de manejo de información personal necesitarán verificar cómo se adquieren y obtienen los datos personales que proporcionan a terceros mediante el “método de opt-out”, y tomar medidas para cumplir con la ley revisada.

La enmienda a la Ley Japonesa de Protección de Datos Personales amplía la utilización de datos

La enmienda a la Ley Japonesa de Protección de Datos Personales amplía la utilización de datos

Establecimiento de Información Procesada Pseudónima

Por ejemplo, se puede considerar el caso de procesar información personal en “Información Procesada Anónima” o “Información Procesada Pseudónima” para fines estadísticos, entre otros.

Como se mencionó anteriormente, la “Información Procesada Anónima” es información personal que ha sido procesada de tal manera que no se puede identificar a un individuo específico, incluso al compararla con otra información. Las siguientes reglas se aplicaban a la Información Procesada Anónima:

  • No se requiere el consentimiento del individuo para compartir con terceros
  • Prohibición de actos de identificación
  • Al crear Información Procesada Anónima, se deben publicar los elementos de los datos personales contenidos en la Información Procesada Anónima

Por otro lado, la “Información Procesada Pseudónima”, que fue establecida en la reciente enmienda, es información personal que ha sido procesada de tal manera que se puede identificar a un individuo al compararla con otra información. Se establecieron las siguientes reglas para la Información Procesada Pseudónima:

  • No hay restricciones en el cambio de propósito de uso, pero se debe publicar el propósito de uso después del cambio
  • Prohibición de actos de identificación y contacto con el individuo
  • No hay obligación de responder a solicitudes de divulgación o cese de uso por parte del individuo
  • No hay obligación de informar o notificar en caso de fuga
  • Prohibición de compartir con terceros

Sin embargo, es posible proporcionar “Información Procesada Pseudónima” si el destinatario es un contratista, sucesor de negocio, o en caso de uso conjunto (como empresas del grupo o investigación conjunta).

Para los operadores de negocios de información personal, si se va a realizar un procesamiento utilizando “Información Procesada Pseudónima”, será necesario revisar la política de privacidad en relación con la especificación y publicación del propósito de uso y la provisión a terceros.

Regulación de la información personal en el destinatario que se convierte en datos personales

En el proveedor, aunque se trata de “información relacionada con la persona”, si se “prevé” que se adquirirá como “datos personales” en el destinatario, el destinatario debe confirmar con el proveedor si se ha obtenido el consentimiento de la persona en cuestión.

A los proveedores de la llamada DMP (Data Management Platform) o servicios similares, se les impone una regulación similar a la provisión de “datos personales” a terceros.

Ejemplo: En el caso de demandar a un autor anónimo por difamación, cuando el administrador del sitio que posee la dirección IP proporciona información a los proveedores de servicios de comunicaciones por Internet (como NTT y compañías de telefonía móvil) a través de una solicitud de divulgación de información del remitente.

Regulación de la información personal en el destinatario que se convierte en datos personales

Disposiciones sobre el fortalecimiento de la regulación transfronteriza y la aplicación extraterritorial

Antes de la enmienda, cuando se proporcionaba datos personales a un tercero en el extranjero, se requería el “consentimiento del individuo”, que el destinatario fuera un “operador que ha establecido un sistema que cumple con los estándares” y que estuviera en un “país de nivel equivalente a Japón” como la UE o el Reino Unido.

En la ley enmendada, se han añadido requisitos a los dos primeros. Específicamente, se ha hecho obligatoria la divulgación de la siguiente información al obtener el “consentimiento del individuo”.

  • Nombre del país de destino de la transferencia
  • El sistema de protección de datos personales en dicho país extranjero
  • Las medidas que el destinatario toma para la protección de datos personales
  • Otra información que pueda ser útil para el individuo en cuestión

Además, en cuanto a la confirmación de que el operador ha establecido un sistema que cumple con los estándares, se ha hecho obligatorio que el origen de la transferencia de datos tome “las medidas necesarias para la protección de datos personales” y proporcione esta información a petición del individuo.

Fortalecimiento de la regulación de transferencias transfronterizas

Las medidas necesarias que debe tomar el origen de la transferencia incluyen específicamente “el sistema de gestión de la situación de manejo adecuado en el destino de la transferencia” y “la respuesta en caso de que surja un riesgo de manejo adecuado en el destino de la transferencia”.

Además de los países miembros del sistema GDPR (Reglamento General de Protección de Datos) de la UE y del sistema CBPR del Reino Unido y APEC, existen sistemas de protección de datos personales únicos en varios países extranjeros, por lo que es necesario entender y tomar medidas de antemano dependiendo de la situación del negocio.

En cuanto a la información que puede servir como indicador para el “sistema de protección de datos personales”, si no existen obligaciones del operador o derechos del individuo que cumplan con los “8 principios de las directrices de privacidad de la OCDE (Organización para la Cooperación y el Desarrollo Económicos)”, se debe proporcionar información sobre su contenido al individuo. Esto se debe a que muestra una diferencia esencial con la “Ley de Protección de Datos Personales” japonesa.

Se cree que en el extranjero existen sistemas de protección de datos personales más estrictos que en Japón, por lo que es importante investigar y entenderlos. Para más detalles, consulte la información sobre relaciones internacionales proporcionada por la Comisión de Protección de Datos Personales.

En la ley enmendada, la Comisión de Protección de Datos Personales ahora puede realizar inspecciones y emitir órdenes respaldadas por sanciones a operadores extranjeros, logrando así una igualdad de condiciones con los operadores nacionales.

Para ejercer efectivamente su autoridad sobre los operadores tanto nacionales como extranjeros y garantizar un debido proceso, se han especificado los procedimientos de notificación (notificación consular, notificación pública, etc.). Debido a la relación con la soberanía extranjera, no se puede ejercer la autoridad pública en el territorio de otro país sin su consentimiento, por lo que se ha establecido una política de cooperación en la ejecución con las autoridades extranjeras según sea necesario (no se requiere la designación de un agente como en el GDPR).

Resumen: Consulte a un abogado para medidas en respuesta a la enmienda de la Ley de Protección de Información Personal

Hemos explicado los puntos clave de la enmienda a la Ley de Protección de Información Personal Japonesa (Ley de Protección de Información Personal de Japón) en el año 4 de la era Reiwa (2022) y las respuestas necesarias en la práctica para los operadores de negocios. Además de los puntos de enmienda mencionados aquí, hay muchas cosas que los operadores de negocios que manejan información personal deben abordar.

A nivel mundial, la regulación legal del uso de datos personales está avanzando. En particular, los operadores de negocios que ofrecen servicios en Internet deben tomar medidas en respuesta a estas regulaciones, teniendo en cuenta que es posible acceder a su sitio web desde cualquier parte del mundo.

Los operadores de negocios deben revisar su sistema de gestión de información personal, prestando atención no solo a los puntos de enmienda de la Ley de Protección de Información Personal de Japón, sino también a las tendencias globales. Si tiene problemas con la respuesta a la enmienda de la Ley de Protección de Información Personal, le recomendamos que consulte a un abogado.

Presentación de las medidas propuestas por nuestro despacho

El despacho de abogados Monolith es una firma legal con alta especialización en IT, especialmente en aspectos de Internet y derecho. En los últimos tiempos, la filtración de información personal se ha convertido en un problema importante. En caso de que se produzca una filtración de información personal, puede tener un impacto fatal en las actividades Negocios. Nuestra firma tiene conocimientos especializados en la prevención y respuesta a las filtraciones de información. Los detalles se describen en el artículo a continuación.

Áreas de práctica del despacho de abogados Monolith: Asuntos legales relacionados con la Ley Japonesa de Protección de Información Personal[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba