Che cos'è il GDPR? Spiegazione dei punti chiave per le aziende giapponesi e confronto con la legge sulla protezione dei dati personali
Per espandere le attività all’interno dell’Unione Europea, è essenziale avere una conoscenza completa del GDPR (Regolamento Generale sulla Protezione dei Dati). Anche le aziende giapponesi che non dispongono di una sede nell’UE possono essere soggette al GDPR. Acquisire una conoscenza di base del GDPR e della legge giapponese sulla protezione dei dati personali e assicurarsi di gestire i dati in modo appropriato.
In questo articolo, spiegheremo il GDPR confrontandolo con la legge giapponese sulla protezione dei dati personali e indicheremo quali punti le aziende giapponesi dovrebbero prestare attenzione. Se sei un responsabile legale che sta considerando se sia necessario modificare le regole sulla protezione dei dati o se desideri conoscere le leggi da osservare per espandere la tua attività nell’UE, ti invitiamo a consultare questo articolo.
Cos’è il GDPR (Regolamento Generale sulla Protezione dei Dati)
Il “GDPR (General Data Protection Regulation)”, noto in Giappone come “Regolamento Generale sulla Protezione dei Dati”, è un insieme di norme relative alla gestione dei dati personali (protezione delle informazioni personali) stabilite dall’Unione Europea (EU).
Stabilisce standard rigorosi per il trattamento dei dati personali all’interno dell’EU, con l’obiettivo di rafforzare la protezione della privacy individuale.
Dal punto di vista della protezione delle informazioni personali, fornisce standard su come le aziende e le organizzazioni dovrebbero gestire i dati e su come gli individui possono proteggere le proprie informazioni.
Riferimento: Commissione per la Protezione delle Informazioni Personali | “Traduzione provvisoria in giapponese del GDPR[ja]“
I principi fondamentali del GDPR sono i seguenti:
- Legalità, correttezza e trasparenza
- Limitazione delle finalità
- Minimizzazione dei dati
- Accuratezza
- Limitazione della conservazione dei dati
- Integrità e riservatezza
Di seguito, spiegheremo ciascuno dei principi fondamentali.
Legalità, Equità e Trasparenza
I principi fondamentali del GDPR, che vengono menzionati per primi, sono la legalità, l’equità e la trasparenza.
Quando un’impresa raccoglie ed elabora dati personali, deve basarsi su una giustificazione legale valida e comunicare chiaramente agli interessati come verrà effettuato tale trattamento.
Inoltre, è fondamentale che l’impresa fornisca esplicitamente informazioni relative alla privacy e garantisca la trasparenza, affinché gli interessati possano comprendere e controllare come i loro dati vengono gestiti.
Limitazione delle finalità d’uso
La limitazione delle finalità d’uso significa che la raccolta e il trattamento dei dati devono essere effettuati esclusivamente per scopi specifici e chiaramente definiti.
Le aziende che acquisiscono dati personali devono indicare con precisione e chiarezza lo scopo ai soggetti interessati e ottenere un consenso esplicito. Inoltre, è richiesto che le aziende limitino l’uso dei dati raccolti esclusivamente agli scopi per i quali hanno ricevuto il consenso dal titolare dei dati e che gestiscano tali dati con rigore.
Minimizzazione dei dati personali
La raccolta dei dati personali dovrebbe essere limitata (minimizzata) all’ambito strettamente necessario per il raggiungimento degli obiettivi prefissati. Si dovrebbero raccogliere dati personali solo nella misura adeguata agli scopi richiesti, evitando di acquisire informazioni personali superflue.
Questo approccio consente di ridurre al minimo la quantità di dati personali conservati e di proteggere la privacy degli individui.
Accuratezza
Uno dei principi fondamentali del GDPR (Regolamento Generale sulla Protezione dei Dati) è che i dati personali devono essere accurati. I dati personali inesatti devono essere corretti e devono essere adottate misure per mantenere le informazioni aggiornate e precise.
Questo assicura la protezione dei diritti e degli interessi delle persone e garantisce che il trattamento dei dati personali sia basato su informazioni corrette.
Limitazioni sulla conservazione dei dati
Uno dei principi fondamentali del GDPR (General Data Protection Regulation) è il concetto di limitazione della conservazione dei dati. I dati personali che diventano superflui una volta raggiunto lo scopo per cui sono stati raccolti dovrebbero essere prontamente cancellati.
Evitando di conservare dati personali non necessari, si realizza una gestione appropriata dei dati personali e si protegge la privacy.
Integrità e Riservatezza
I dati personali devono essere completi e la loro riservatezza deve essere preservata. È necessario proteggere i dati personali da alterazioni o perdite e adottare misure adeguate per prevenire accessi non autorizzati.
Questo migliorerà la fiducia nei dati personali.
Non solo le aziende nell’UE? L’ambito di applicazione del GDPR
Il GDPR non si applica solo alle aziende all’interno dell’UE. Anche le aziende giapponesi possono rientrare nell’ambito di applicazione. Di seguito, spieghiamo i quattro principali soggetti aziendali ai quali si applica il GDPR.
| Soggetti aziendali ai quali si applica il GDPR | Descrizione |
| Aziende con sedi nell’UE | “Responsabili del trattamento” | Organizzazioni che definiscono gli scopi e i mezzi del trattamento dei dati e detengono la proprietà dei dati sono note come responsabili del trattamento. Ad esempio, aziende con sedi centrali o filiali all’interno dell’UE rientrano in questa categoria. I responsabili del trattamento hanno la responsabilità di garantire un trattamento dei dati legale e trasparente. |
| Aziende che ricevono l’incarico di trattamento dati personali da aziende dell’UE | “Incaricati del trattamento” | Quando un’azienda all’interno dell’UE affida il trattamento dei dati a un’altra azienda, quest’ultima diventa un “incaricato del trattamento” e rientra nell’ambito di applicazione del GDPR. Anche gli incaricati del trattamento hanno la responsabilità di garantire la sicurezza e il trattamento legale dei dati. |
| Aziende che forniscono beni o servizi a persone all’interno dell’UE | Aziende che offrono negozi online o servizi web rientrano in questa categoria. Il trattamento dei dati relativi ai beni o servizi forniti deve essere conforme agli standard del GDPR. |
| Aziende che monitorano individui all’interno dell’UE | Il monitoraggio si riferisce al tracciamento delle attività o delle condizioni di una persona specifica per un lungo periodo. Ad esempio, aziende che utilizzano telecamere di sorveglianza o tracciano le attività online rientrano in questa categoria e sono richieste a trattare i dati in modo legale. |
Le aziende soggette al GDPR sono tenute a garantire un trattamento dei dati legale e trasparente, la sicurezza dei dati, nonché la conformità agli standard del GDPR.
Articoli correlati: Cosa succede quando il GDPR si applica extraterritorialmente? Spieghiamo come rispondere[ja]
Il trattamento dei dati personali nel GDPR
Il GDPR fornisce un quadro per la protezione della privacy e la circolazione dei dati personali.
| Lo scopo e i principi di questo regolamento sono di garantire la protezione dei diritti fondamentali e delle libertà, in particolare il rispetto della privacy personale, e di promuovere la libera circolazione dei dati personali (Articolo 4 del GDPR). |
Il GDPR protegge il controllo e il rispetto dei dati personali, promuovendo al contempo la loro circolazione e garantendo l’affidabilità attraverso una gestione appropriata.
Per questo, la trasparenza nel trattamento dei dati e la responsabilità aziendale sono cruciali, e le imprese sono tenute a gestire i dati in modo appropriato in base al regolamento.
Il GDPR include anche le seguenti disposizioni:
| Quando un’impresa soggetta al GDPR tratta dati personali, è necessario in linea di principio il consenso dell’interessato (Articolo 6(1)(a) del GDPR). |
| Il responsabile del trattamento deve essere in grado di dimostrare che l’interessato ha dato il suo consenso al trattamento dei dati personali (Articolo 7(1) del GDPR). |
| Inoltre, l’interessato ha il diritto di revocare il suo consenso al trattamento dei dati personali in qualsiasi momento (Articolo 7(3) del GDPR). |
Tuttavia, ci sono casi in cui il trattamento dei dati personali è permesso anche senza il consenso dell’interessato. Ecco alcuni esempi specifici:
- Quando è necessario per l’esecuzione di un contratto di cui l’interessato è parte.
- Quando è necessario per adempiere a misure richieste dall’interessato prima della conclusione di un contratto.
- Quando è necessario per il responsabile del trattamento per adempiere a un obbligo legale.
- Quando è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona.
- Quando è necessario per un interesse pubblico o per l’esercizio di un’autorità pubblica.
- Quando è necessario per gli interessi legittimi del responsabile del trattamento o di un terzo, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
I principali diritti relativi ai dati personali nel GDPR
Nel GDPR (Regolamento Generale sulla Protezione dei Dati), ai soggetti dei dati personali sono riconosciuti principalmente i seguenti diritti:
- Il diritto di accedere ai propri dati personali
- Il diritto di richiedere la rettifica o la cancellazione dei propri dati personali
- Il diritto di richiedere la limitazione dell’uso dei propri dati personali
- Il diritto di opporsi al trattamento dei propri dati personali
Il soggetto dei dati personali ha il diritto di comprendere come il fornitore utilizzi le sue informazioni. Se si ritiene che le informazioni siano inesatte o utilizzate in modo inappropriato, è possibile richiedere la loro rettifica o cancellazione, oltre alla possibilità di sospendere temporaneamente il loro uso o di presentare un’opposizione.
Le principali responsabilità relative ai dati personali nel GDPR
Mentre i soggetti dei dati personali godono dei diritti sopra menzionati, le aziende che raccolgono e trattano dati personali hanno principalmente le seguenti responsabilità:
- Stabilire un sistema e un assetto organizzativo per la gestione dei dati personali in conformità con il GDPR
- Registrare le attività di trattamento dei dati personali
- Assumersi la responsabilità di rispondere in caso di violazione dei dati personali
Per garantire una protezione adeguata dei dati personali, è fondamentale che le aziende si assumano queste responsabilità.
Inoltre, è essenziale che tutte le attività di trattamento dei dati personali siano accuratamente registrate, per consentire una revisione quando necessario.
In caso di violazione dei dati personali, l’azienda ha la responsabilità di adottare misure appropriate e di notificare le parti interessate.
In caso di violazione del GDPR
Se un responsabile o un incaricato del trattamento viola il GDPR e causa danni al titolare dei dati, potrebbe essere richiesto un risarcimento danni (articolo 82, paragrafo 1 del GDPR).
Inoltre, una violazione del GDPR può portare a conseguenze severe. Ad esempio, per un’azione che contravviene al regolamento, possono essere imposte sanzioni pecuniarie dall’UE in base all’articolo 83 del GDPR (articolo 83 del GDPR).
Le differenze tra il GDPR e la legge sulla protezione dei dati personali
Le principali differenze tra il GDPR e la legge sulla protezione dei dati personali sono le seguenti:
- Soggetti protetti
- Risposta in caso di violazione dei dati personali
- Impostazione di un rappresentante
- Sanzioni in caso di violazione
Di seguito, forniremo una spiegazione dettagliata.
Soggetti protetti
Il GDPR e la legge sulla protezione dei dati personali differiscono per quanto riguarda i dati che sono oggetto di protezione. Il GDPR protegge in modo estensivo i dati personali trattati all’interno dell’UE. Non solo le aziende con sedi nell’UE, ma anche quelle che offrono beni o servizi alle persone all’interno dell’UE sono soggette a questa normativa.
Invece, i soggetti protetti dalla legge sulla protezione dei dati personali variano a seconda del paese o della regione.
Ad esempio, la legge giapponese sulla protezione dei dati personali si applica alle informazioni personali trattate all’interno del paese e la protezione è generalmente limitata al territorio nazionale.
Risposta in caso di violazione dei dati personali
Ci sono differenze tra il GDPR e la legge sulla protezione dei dati personali riguardo alla risposta in caso di violazione dei dati personali.
Secondo il GDPR, in caso di violazione dei dati, le aziende sono obbligate a notificare l’autorità di controllo entro 72 ore. Inoltre, hanno la responsabilità di informare in modo rapido ed esplicito i soggetti dei dati personali.
Anche la legge sulla protezione dei dati personali richiede una notifica tempestiva in caso di violazione dei dati, ma i termini e i contenuti dell’obbligo di notifica variano a seconda del paese o della regione.
Impostazione di un rappresentante
Il GDPR e la legge sulla protezione dei dati personali hanno regole diverse per quanto riguarda la nomina di un rappresentante.
Il GDPR richiede il consenso di un genitore o tutore legale per il trattamento dei dati personali dei bambini. Inoltre, le aziende che forniscono servizi online e trattano dati personali di minori di 16 anni devono ottenere il consenso dei genitori.
La legge sulla protezione dei dati personali richiede anch’essa il consenso di un tutore legale per il trattamento dei dati personali dei bambini, ma l’età specifica e il metodo di ottenimento del consenso possono variare a seconda della legislazione.
Sanzioni in caso di violazione
Un’altra differenza tra il GDPR e la legge sulla protezione dei dati personali riguarda le sanzioni in caso di violazione.
Secondo il GDPR, le violazioni possono comportare sanzioni fino al 4% del fatturato annuo totale dell’azienda o 20 milioni di euro.
Le sanzioni previste dalla legge sulla protezione dei dati personali variano a seconda del paese o della regione, ma generalmente includono multe o responsabilità legali. L’importo delle multe varia in base alla natura e alla gravità della violazione.
Punti chiave per le aziende giapponesi nella conformità al GDPR
Le aziende che rientrano nelle seguenti categorie devono adottare misure per conformarsi al GDPR:
- Aziende con filiali, uffici o sedi operative all’interno dell’UE
- Aziende che forniscono beni o servizi dall’Giappone all’interno dell’UE
- Aziende incaricate del trattamento dei dati personali da parte di entità all’interno dell’UE
Un esempio di misura specifica per le aziende, come raccomandato dall’articolo 32 e dal considerando (83) del GDPR, è l’uso della crittografia come una delle tecnologie di protezione dei dati.
Di conseguenza, è necessaria la crittografia dei dati personali su dispositivi come PC client, HDD, memorie USB, nonché su cartelle condivise e altri supporti di registrazione.
Inoltre, è necessario aggiornare la politica sulla privacy per renderla conforme al GDPR. Per maggiori dettagli su come creare una politica sulla privacy conforme al GDPR, si rimanda all’articolo correlato.
Articolo correlato: Spiegazione dei punti chiave nella creazione di una politica sulla privacy conforme al GDPR[ja]
Riassunto: Consultare un esperto per le misure GDPR
Il GDPR (General Data Protection Regulation) è un regolamento che protegge ampiamente i dati personali trattati all’interno dell’UE, richiedendo un trattamento dei dati legale e trasparente e garantendo la sicurezza. Le differenze tra il GDPR e la legge giapponese sulla protezione dei dati personali includono gli oggetti di protezione, le risposte alle violazioni dei dati personali, la designazione di rappresentanti e le sanzioni in caso di violazione.
Sono soggetti all’applicazione del GDPR principalmente le aziende con sedi nell’UE, le aziende che offrono beni o servizi a persone nell’UE e le aziende che ricevono incarichi di trattamento dei dati personali da aziende all’interno dell’UE. In caso di violazione del GDPR, si potrebbe essere soggetti a richieste di risarcimento danni e sanzioni pecuniarie, quindi è necessario prestare la massima attenzione.
Si consiglia di consultare un esperto per determinare se è necessario modificare le regole di protezione dei dati della propria azienda per conformarsi al GDPR.
Presentazione delle misure adottate dal nostro studio
Lo studio legale Monolith è specializzato in IT, con particolare esperienza nel settore di Internet e del diritto. Negli ultimi anni, il business globale si è notevolmente espanso e la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni in materia di diritto internazionale.
Aree di competenza dello studio legale Monolith: Diritto internazionale e affari esteri[ja]
Related Articles
Cos'è la regolamentazione della pubblicità secondo la 'Legge Giapponese sui Dispositivi Farmaceu.
General Corporate
Cosa è cambiato con la riforma del 'Codice Penale Giapponese' nel 2022 (Reiwa 4)? Un avvocato sp.
General Corporate
L'aumento rapido delle firme elettroniche e dei contratti elettronici durante la pandemia di Cor.
General Corporate
Cosa sono i punti da controllare quando si stipula un contratto di fornitura di dati?
General Corporate
Quali sono le sanzioni e i requisiti di arresto secondo la 'Legge Giapponese sui Dispositivi Far.
General Corporate
Quali sono le contromisure in caso di 'terrorismo part-time' sui social network? È possibile lic.
General Corporate
