El riesgo de filtración de información personal en las empresas y la indemnización por daños
Los riesgos que rodean la gestión empresarial incluyen crisis de gestión y accidentes debido a la violación del deber de seguridad por parte de la empresa. Sin embargo, en los últimos años, la fuga de información personal y el riesgo de indemnización por daños y perjuicios resultantes se han convertido en un gran problema.
Según Tokyo Shoko Research, en 2019, 66 empresas cotizadas y sus subsidiarias anunciaron accidentes de fuga y pérdida de información personal. El número de accidentes fue de 86, y la información personal filtrada alcanzó a 9.031.734 personas. Si a esto se añaden las empresas no cotizadas, las empresas extranjeras, las agencias gubernamentales, los gobiernos locales y las escuelas, el número podría aumentar astronómicamente.
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Entre los accidentes de fuga y pérdida de información personal, el más grande hasta la fecha sigue siendo la fuga de información personal de 35.04 millones de personas debido a la adquisición ilegal de información del cliente por parte de un empleado subcontratado de Benesse Holdings (Benesse Corporation) que se descubrió en julio de 2014. Sin embargo, en 2019, hubo nuevos desarrollos en algunos de los juicios relacionados con este incidente.
Mientras organizamos el problema de Benesse, consideramos el riesgo de fuga de información personal y compensación por daños y perjuicios en las empresas.
¿Qué es el incidente de fuga de información personal de Benesse?
Aproximadamente en junio de 2014, los clientes de Benesse comenzaron a recibir correos directos de la empresa de educación a distancia “Just System”. Esto llevó a un aumento en las consultas sobre si se estaba utilizando información personal registrada solo en Benesse, y si la información personal se estaba filtrando desde Benesse.
El 27 de junio, Benesse inició una investigación interna y el 30 de junio informó a la policía y al Ministerio de Economía, Comercio e Industria. El 9 de julio, en una conferencia de prensa, anunció que se había filtrado información personal, como los nombres de los niños y sus padres, direcciones, números de teléfono, género y fechas de nacimiento de los usuarios de servicios como Shinken Seminar.
El 17 de julio, un ingeniero de sistemas de 39 años que estaba a cargo de la gestión del sistema de base de datos de la empresa Synform, que había sido subcontratada por una empresa relacionada con Benesse para gestionar la información del cliente, fue arrestado. Se descubrió que este ingeniero, que tenía acceso a la información del cliente, había sacado información personal y la había vendido a una empresa de listas de correo.
En septiembre, Benesse realizó una conferencia de prensa y anunció que el número de casos de fuga de información del cliente era de 35.04 millones. Aunque ya se había preparado un fondo de 20 mil millones de yenes para compensar a las víctimas de la fuga de información personal, Benesse envió una carta de disculpa a los clientes afectados y anunció que implementaría una compensación mediante el envío de un cupón de 500 yenes (un regalo de dinero electrónico o una tarjeta de libro de uso común en todo el país) de acuerdo con la elección del cliente, o donando 500 yenes por cada caso de fuga a la Fundación Benesse Children, establecida con el propósito de apoyar a los niños afectados por esta fuga.
En respuesta a esto, algunas de las víctimas formaron varios grupos de abogados y presentaron demandas colectivas. En 2019, hubo algunos movimientos relacionados con esto. En cuanto al caso penal, en el juicio penal contra el ingeniero de sistemas acusado de violar la Ley de Prevención de la Competencia Desleal (reproducción y divulgación de secretos comerciales) por llevarse información personal, el 21 de marzo de 2017 (año 29 de Heisei), el Tribunal Superior de Tokio dictaminó una sentencia final de 2 años y medio de prisión y una multa de 3 millones de yenes sin suspensión de la ejecución.
El fallo del Tribunal Supremo y la apelación remitida
En un juicio en el que un hombre solicitó a Benesse una compensación de 100,000 yenes por sufrir angustia mental debido a la filtración de su nombre, dirección, número de teléfono, entre otros, el Tribunal Supremo anuló el fallo del tribunal de primera instancia, el Tribunal Superior de Osaka, y remitió el caso por no haber agotado el juicio.
El Tribunal de Distrito de Kobe, Himeji Branch, que era el tribunal de primera instancia antes de la remisión, reconoció el 2 de diciembre de 2015 que no había disputa sobre el hecho de que el nombre del hombre administrado por Benesse se había filtrado, pero rechazó la demanda del hombre porque no había suficiente evidencia para fundamentar que esto se debía a la negligencia de Benesse.
En respuesta a esto, el hombre apeló y el tribunal de apelación (Tribunal Superior de Osaka, fallo del 29 de junio de 2016) reconoció que el nombre, género, fecha de nacimiento, código postal, dirección, número de teléfono y nombre del tutor (nombre del apelante) del hijo del apelante, administrado por el apelado, se habían filtrado. Aunque reconoció que la filtración de la información personal del apelante, como su nombre, código postal, dirección, número de teléfono y los nombres, géneros y fechas de nacimiento de sus familiares, podría causar no solo incomodidad sino también ansiedad en una persona común, rechazó la apelación porque no había evidencia de que se hubiera sufrido daño más allá de esta incomodidad, etc., y por lo tanto, no se podía solicitar una indemnización por daños y perjuicios de inmediato.
El fallo del Tribunal Supremo
Cuando el apelante solicitó la aceptación de la apelación contra esto, el Tribunal Supremo aceptó esto y, a pesar de que se podría decir que la privacidad del apelante fue violada por la filtración en este caso, el Tribunal Superior de Osaka rechazó la demanda del apelante de inmediato solo porque no se había presentado evidencia de la existencia y el grado del daño mental del apelante debido a la violación de la privacidad sin llevar a cabo un juicio suficiente sobre estos puntos. El Tribunal Supremo anuló el fallo original y remitió el caso al Tribunal Superior para un juicio adicional sobre la existencia de negligencia por parte del apelado y la existencia y el grado del daño mental del apelante (Tribunal Supremo, fallo del 23 de octubre de 2017).
https://monolith.law/reputation/privacy-invasion[ja]
El fallo de la apelación remitida
En el juicio remitido, el Tribunal Superior de Osaka (sentencia del 20 de noviembre de 2019) dictaminó que el empleado en cuestión había obtenido ilegalmente información personal y la había vendido a un comerciante de listas de nombres mediante la transferencia de datos a través de la comunicación MTP conectando un teléfono inteligente compatible con MTP a un puerto USB de una computadora de trabajo utilizando un cable USB. Sin embargo, la empresa Synform debería haber tomado medidas adecuadas para evitar que los teléfonos inteligentes compatibles con MTP se llevaran a la sala de trabajo y se pusieran en contacto con la información personal en cuestión, pero no lo hizo, por lo que fue negligente. Benesse, al permitir que Synform, que estaba bajo su control, utilizara la información personal en cuestión, violó su deber de supervisión adecuada sobre Synform, lo que resultó en la filtración por parte del empleado. Por lo tanto, se consideró que Benesse tenía responsabilidad por actos ilícitos por los daños causados por esto y que esto constituía un acto ilícito conjunto de las dos empresas (Artículo 719, párrafo 1, primera parte, del Código Civil).
Luego, en violación del Artículo 22 de la Ley de Protección de Información Personal de Japón, que establece que “cuando un operador de negocios de manejo de información personal delega todo o parte del manejo de datos personales, debe supervisar adecuada y necesariamente al delegado para asegurar la gestión segura de los datos personales delegados”, reconoció que se había violado la privacidad, pero teniendo en cuenta que la dirección, el nombre y el número de teléfono del apelante se habían divulgado en páginas web, etc., ordenó el pago de 1,000 yenes como indemnización por daños y perjuicios.
Este juicio es el tercer caso en el que se reconoce la responsabilidad de indemnización de Benesse. Al principio de este artículo, escribí que “en 2019, hubo algunos desarrollos nuevos en los juicios relacionados con este caso”, pero los tres fallos que reconocieron la responsabilidad de indemnización de Benesse se emitieron todos en 2019.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
El primer caso judicial que reconoció la responsabilidad de Benesse
El juicio de primera instancia
Un hombre demandó a Benesse por daños y perjuicios por el estrés mental que sufrió debido a la filtración de su información personal, así como la de su esposa e hijo, por parte de Benesse. En el juicio de apelación, se reconoció por primera vez la responsabilidad de Benesse.
En el juicio de primera instancia (Tribunal de Distrito de Yokohama, sentencia del 16 de febrero de 2017), se reconoció que Benesse había incumplido su deber de cuidado, pero se rechazó la demanda contra Benesse porque no se demostró ningún hecho concreto que demostrara que había incumplido su deber de entender cómo se manejaban los datos personales. Como resultado, el hombre y otros apelaron.
En el juicio de primera instancia, aunque Benesse había recibido una recomendación basada en el artículo 34, párrafo 1, de la Ley de Protección de Información Personal (Ley japonesa de Protección de Información Personal) del Ministro de Economía, Comercio e Industria por no cumplir con sus obligaciones bajo los artículos 20 y 22 de la misma ley y por causar la filtración de información en cuestión, se indicó que la recomendación basada en el mencionado párrafo se hace cuando se considera necesario para proteger los derechos e intereses de los individuos, y no requiere la existencia o violación de un deber de prever o evitar resultados en el momento de la filtración de información. Por lo tanto, el hecho de que se haya hecho una recomendación no es suficiente para reconocer que Benesse tuvo negligencia bajo el artículo 709 del Código Civil (Código Civil japonés) en el momento de la filtración de información en cuestión.
El juicio de apelación
En respuesta a esto, el Tribunal Superior de Tokio (sentencia del 27 de junio de 2019), en el juicio de apelación, asumió el hecho de que el delito fue cometido simplemente al conectar un smartphone a una computadora de trabajo con un cable USB comercial para cargarlo, y se dio cuenta de que era posible transferir datos y lo ejecutó, no fue algo que se hizo aplicando conocimientos avanzados o utilizando técnicas especiales. Se reconoció que la empresa Synform tenía la negligencia de no haber tomado medidas de control de escritura para los smartphones compatibles con MTP, y que Benesse, que había confiado la gestión de una gran cantidad de información personal, tenía la negligencia de no haber supervisado adecuadamente a su contratista en relación con la gestión de la información personal en el momento de la filtración. Se determinó que estos actos ilícitos por parte de ambas empresas constituían un acto ilícito conjunto (Artículo 719, párrafo 1, primera parte, del Código Civil japonés).
Luego, se afirmó que “es natural que los apelantes no quieran que su información personal sea divulgada indiscriminadamente a otros contra su voluntad, por lo que la información personal en cuestión es objeto de protección legal como información relacionada con la privacidad de los apelantes, y se debe decir que su privacidad fue violada por la filtración en cuestión”. Además, después de la detección de la filtración, se iniciaron inmediatamente las medidas de respuesta, se tomaron medidas para prevenir la expansión del daño de la filtración de información, se realizó un informe de investigación basado en informes e instrucciones a las autoridades supervisoras. Además, se enviaron cartas de disculpa a los clientes que se creía que habían sufrido la filtración de información, y se distribuyeron vales de regalo equivalentes a 500 yenes según la elección. Teniendo en cuenta que los apelantes también habían recibido cada uno un regalo de dinero electrónico de 500 yenes, se ordenó a Benesse que pagara a cada uno de ellos una indemnización por daños de 2.000 yenes.
Segundo caso judicial que reconoce la responsabilidad de Benesse
El fallo de una demanda en la que 13 clientes reclamaban un total de 980,000 yenes en daños y perjuicios a la compañía y sus filiales se produjo el 6 de septiembre de 2019 (Año 2019 del calendario gregoriano) en el Tribunal de Distrito de Tokio, donde se ordenó a Benesse y a la compañía Shinform que pagaran 3,000 yenes por persona (3,300 yenes para una persona), un total de 42,300 yenes.
El tribunal no reconoció la responsabilidad del empleador de Benesse hacia la compañía Shinform, que los demandantes habían solicitado, ya que es una entidad separada. Sin embargo, se consideró que Shinform había sido negligente al no revisar la configuración del software de seguridad, lo que permitió la transferencia de datos desde una computadora de trabajo a un teléfono inteligente compatible con MTP. Además, se consideró que Benesse tenía la obligación de supervisar la selección de la empresa a la que delegaba el manejo de una gran cantidad de información de clientes, incluyendo a los demandantes, en virtud del principio de buena fe, para el desarrollo del sistema en cuestión. Por lo tanto, se reconoció un acto ilícito conjunto (Artículo 719, párrafo 1, del Código Civil japonés) y se ordenó que pagaran conjuntamente una indemnización por daños y perjuicios a los demandantes.
https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]
En este fallo, también se citó el artículo 22 de la Ley de Protección de Información Personal de Japón, que establece que “cuando un operador de negocios de manejo de información personal delega todo o parte del manejo de datos personales, debe supervisar adecuada y necesariamente a la persona que ha recibido la delegación para asegurar la gestión segura de los datos personales delegados”. Además, se señaló que la “supervisión necesaria y adecuada” en las directrices del Ministerio de Economía, Comercio e Industria del año Heisei 21 (2009 en el calendario gregoriano) incluye la selección adecuada de la empresa delegada, la celebración de un contrato necesario para hacer cumplir las medidas de seguridad basadas en el artículo 20 de la Ley de Protección de Información Personal de Japón, y la comprensión de la situación de manejo de los datos personales delegados en la empresa delegada.
Resumen
Originalmente, Benesse había preparado un fondo de 20 mil millones de yenes para compensar a las víctimas, pero resultó ser insuficiente. En noviembre de 2014, la Asociación Japonesa para la Promoción de la Sociedad de la Información y la Economía revocó la marca de privacidad que se otorga a las empresas que gestionan adecuadamente la información personal, que Benesse Holdings había obtenido. En abril de 2015, el número de miembros de “Shinken Seminar” y “Kodomo Challenge” fue de 2.71 millones, una disminución de 940,000 en comparación con el mismo mes del año anterior. Los resultados consolidados para el período de abril a junio mostraron una disminución del 7% en las ventas y una disminución del 88% en las ganancias operativas en comparación con el mismo período del año anterior. El balance operativo pasó de un superávit de 3.91 mil millones de yenes en el mismo período del año anterior a un déficit de 430 millones de yenes. El riesgo de indemnización por daños y perjuicios debido a la fuga de información personal puede convertirse en una cuestión de vida o muerte para las empresas.