Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'? Spiegazione di un avvocato

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'? Spiegazione di un avvocato

General Corporate

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'? Spiegazione di un avvocato

La legge sulla protezione dei dati personali, modificata nel 2015 (entrata in vigore nel 2017), nota in giapponese come “Legge sulla protezione dei dati personali”, è un regolamento fondamentale quando si considerano le questioni relative ai dati personali nelle attività aziendali, e serve a chiarire gli obblighi legali che i gestori di dati personali devono rispettare. Fino al 2015 (anno 27 dell’era Heisei, 2015 nel calendario gregoriano), solo le aziende che possedevano dati personali di oltre 5000 individui erano considerate gestori di dati personali, quindi molte piccole imprese non rientravano in questa categoria. Tuttavia, dopo la modifica del 2015, questa condizione è stata eliminata, rendendo praticamente tutte le aziende gestori di dati personali, rendendo questa legge inevitabile anche per i proprietari di piccole imprese. Poiché è necessario gestire dati personali come nomi e indirizzi email dei clienti per scopi come vendite online, newsletter, invio di DM e carte punti per negozi fisici, è importante avere una buona comprensione dei principi fondamentali della legge sulla protezione dei dati personali.

Scopo e definizione della Legge sulla Protezione dei Dati Personali Giapponese

Spiegheremo l’overview e la definizione della Legge sulla Protezione dei Dati Personali Giapponese.

Che cos’è esattamente la Legge sulla Protezione dei Dati Personali Giapponese? Diamo un’occhiata all’overview. Innanzitutto, l’articolo 1 chiarisce lo scopo di questa legge.

Articolo 1 della Legge sulla Protezione dei Dati Personali Giapponese
Questa legge, tenendo conto del fatto che l’uso dei dati personali si è notevolmente espanso con l’avanzamento della società dell’informazione, stabilisce i principi fondamentali e le politiche di base del governo e altre questioni fondamentali per la protezione dei dati personali, chiarisce i doveri del governo e delle autorità locali, e stabilisce gli obblighi che gli operatori che gestiscono i dati personali devono rispettare, al fine di contribuire alla realizzazione di una società economica vivace e di una vita nazionale ricca attraverso l’uso appropriato ed efficace dei dati personali, pur tenendo conto dell’utilità dei dati personali, e di proteggere i diritti e gli interessi degli individui.

Questo è quanto.

L’articolo 2 definisce i dati personali, i dati personali e i dati personali detenuti (articoli 2, paragrafi 1, 4 e 5).
Nella Legge sulla Protezione dei Dati Personali Giapponese, i “dati personali” sono “informazioni relative a un individuo vivente” che “possono identificare un individuo specifico” attraverso “descrizioni come nome, data di nascita, ecc. contenute nelle informazioni” (incluso ciò che può identificare un individuo specifico confrontandolo facilmente con altre informazioni). I “dati personali” sono una banca dati di queste informazioni personali creata da un computer, e quelli che un operatore detiene per più di sei mesi sono “dati personali detenuti”.

La necessità di protezione dei dati personali varia notevolmente a seconda che siano o meno databased. I dati personali sono informazioni personali sistematicamente organizzate che possono essere facilmente ricercate, ecc., e poiché la possibilità di violazione dei diritti è alta, viene fornita una protezione più forte rispetto ai dati personali in generale.

I dati personali detenuti, che ricevono una protezione ancora più forte, sono dati personali che l’operatore di gestione dei dati personali ha il diritto di divulgare, correggere, aggiungere o cancellare il contenuto, interrompere l’uso, cancellare e interrompere la fornitura a terzi (articolo 2, paragrafo 7), e per i dati personali detenuti, sono riconosciute richieste di divulgazione, correzione, interruzione dell’uso, ecc., tenendo conto della richiesta che l’individuo possa adeguatamente coinvolgere le proprie informazioni (descritte di seguito).

Regolamento sulla gestione delle informazioni personali

Per evitare l’uso improprio delle informazioni personali, è necessario limitare il loro trattamento all’ambito necessario per raggiungere l’obiettivo specificato, in base alle regole per un corretto trattamento.

Quindi, gli operatori che gestiscono le informazioni personali devono:

  • Specificare il più possibile l’obiettivo dell’uso delle informazioni personali quando le gestiscono (Articolo 15, paragrafo 1 della Legge Giapponese sulla Protezione dei Dati Personali)
  • Non gestire le informazioni personali oltre l’ambito necessario per raggiungere l’obiettivo dell’uso (Articolo 16, paragrafo 1 della Legge Giapponese sulla Protezione dei Dati Personali)
  • Non acquisire informazioni personali con mezzi fraudolenti o altri mezzi illeciti (Articolo 17, paragrafo 1 della Legge Giapponese sulla Protezione dei Dati Personali)
  • Se si acquisiscono informazioni personali, è necessario notificare o pubblicare l’obiettivo dell’uso alla persona interessata (Articolo 18 della Legge Giapponese sulla Protezione dei Dati Personali)

La Legge Giapponese sulla Protezione dei Dati Personali richiede che le informazioni personali detenute dai datori di lavoro siano utilizzate in conformità con l’obiettivo specificato e pubblicato in anticipo. In altre parole, è necessario “specificare e pubblicare l’obiettivo prima di utilizzare le informazioni personali in qualsiasi modo”. Ad esempio, non è illegale “utilizzare le informazioni personali per mostrare pubblicità in base alle caratteristiche dell’utente”, ma è necessario pubblicare l’obiettivo dell’uso in anticipo. Non ci sono specifiche sul metodo di pubblicazione, ma di solito si fa attraverso una “Politica sulla privacy” o una “Politica sulla protezione dei dati personali”.

D’altra parte, per le cosiddette informazioni personali sensibili, l’acquisizione senza il consenso del soggetto è proibita come principio, che è più severo delle normali informazioni personali (Articolo 17, paragrafo 2 della Legge Giapponese sulla Protezione dei Dati Personali).

Le informazioni personali sensibili sono:

Articolo 2, paragrafo 3
Nella presente legge, per “informazioni personali sensibili” si intendono le informazioni personali che includono descrizioni stabilite da un decreto del governo come richiedenti particolare attenzione nel loro trattamento per evitare discriminazioni ingiuste, pregiudizi e altri svantaggi per l’individuo, come la razza, la fede, lo status sociale, la storia medica, la storia criminale, il fatto di essere stato danneggiato da un crimine, ecc.

Inoltre, include anche i risultati di disabilità e esami medici, la guida, il trattamento e la prescrizione di un medico, il fatto che siano state intraprese procedure penali, e il fatto che siano state intraprese procedure relative a casi di protezione dei minori.

Si ritiene che le informazioni personali sensibili, che sono soggette a severa regolamentazione che non consente nemmeno l’acquisizione senza il consenso del soggetto a meno che non ci siano circostanze eccezionali, siano informazioni che potrebbero generare discriminazione e pregiudizi se acquisite e gestite anche quando non si ritiene necessario acquisirle.

Disciplina sulla gestione e supervisione


È previsto che si debba esercitare una supervisione necessaria e appropriata sul lavoratore in questione per garantire la gestione sicura dei dati personali.

Molte persone sono preoccupate e ansiose per la possibilità che le informazioni personali possano essere divulgate o alterate. Questo è ancora più vero per i dati personali memorizzati in un database, poiché ci sono stati molti casi in cui la divulgazione di massa di informazioni sui clienti ha causato problemi sociali. Pertanto, gli operatori che gestiscono le informazioni personali hanno l’obbligo di adottare misure necessarie e appropriate (misure di gestione della sicurezza) per la gestione sicura dei dati personali (articolo 20 della “Legge Giapponese sulla Protezione dei Dati Personali”).

Violazione dell’obbligo di gestione della sicurezza

In realtà, in molti casi in cui le informazioni personali sono state divulgate o diffuse su Internet, è stata riconosciuta una violazione dell’obbligo di gestione della sicurezza. Anche per le piccole e medie imprese, il contenuto delle misure di gestione della sicurezza che tengono conto delle loro caratteristiche è chiaramente indicato nelle “Linee Guida sulla Legge Giapponese sulla Protezione dei Dati Personali (Edizione Generale)” (Commissione per la Protezione dei Dati Personali). Pertanto, è importante non solo rispettare l’articolo 20 della Legge sulla Protezione dei Dati Personali, ma anche adottare misure conformi a queste linee guida per evitare di essere ritenuti responsabili per atti illeciti dovuti a violazioni della privacy causate da divulgazioni su Internet.

Tuttavia, non importa quanto siano ben organizzati i sistemi e le procedure, alla fine la loro corretta gestione è affidata alle persone. Pertanto, “l’operatore che gestisce le informazioni personali, quando fa gestire i dati personali ai suoi dipendenti, deve esercitare una supervisione necessaria e appropriata su tali dipendenti per garantire la gestione sicura dei dati personali” (articolo 21 della “Legge Giapponese sulla Protezione dei Dati Personali”).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Inoltre, la vendita o la rimozione dei dati dei clienti da parte dei dipendenti non solo comporta la responsabilità del torto (articolo 709 del Codice Civile Giapponese) per il dipendente stesso, ma anche l’operatore che gestisce le informazioni personali può essere ritenuto responsabile come datore di lavoro (articolo 715 del Codice Civile Giapponese), quindi è necessario fare attenzione.

“Fornitura a terzi” e “Delega”

La Legge Giapponese sulla Protezione dei Dati Personali proibisce in linea di principio la fornitura di informazioni personali dei clienti a “terzi”, anche se ciò è fatto per gli scopi annunciati in anticipo, a meno che non ci sia il consenso. Tuttavia, se si spinge troppo in questa direzione, “anche il semplice fatto di conservare un database di dati sui clienti su un server in affitto diventa illegale”. Questo perché il server in affitto è considerato un “terzo” per l’operatore.

Tuttavia, la “delega” è un’eccezione alla “fornitura a terzi” e è permessa se la delega è a persone che non utilizzano le informazioni. Ad esempio, un server in affitto si limita a conservare le informazioni e non le utilizza. Questo tipo di delega della gestione delle informazioni personali a terzi avviene spesso, ma per prevenire situazioni in cui la responsabilità diventa incerta a causa di deleghe multiple o gestione inappropriata da parte del delegato, “l’operatore che gestisce le informazioni personali, quando delega tutto o parte della gestione dei dati personali, deve esercitare una supervisione necessaria e appropriata sul delegato per garantire la gestione sicura dei dati personali” (articolo 22 della “Legge Giapponese sulla Protezione dei Dati Personali”).

La corretta gestione delle informazioni personali attraverso il coinvolgimento dell’individuo


La legge sulla protezione dei dati personali (Legge Giapponese sulla Protezione dei Dati Personali) è una delle leggi più importanti da considerare quando si tratta di questioni di privacy e informazioni personali.

La legge sulla protezione dei dati personali, per garantire la corretta gestione delle informazioni personali attraverso il coinvolgimento dell’individuo, consente all’individuo di richiedere all’operatore del trattamento dei dati personali la divulgazione (articolo 28), la correzione, l’aggiunta, la cancellazione (articolo 29), la sospensione dell’uso, ecc. (articolo 30) dei dati personali detenuti che riguardano l’individuo stesso, a determinate condizioni. Questo coinvolgimento dell’individuo è chiaramente definito come un diritto di richiesta in diritto privato, e se l’operatore del trattamento dei dati personali non risponde alla richiesta, l’individuo può far valere i suoi diritti attraverso un processo legale.

Se l’operatore del trattamento dei dati personali riceve una richiesta dall’individuo a cui si riferiscono le informazioni, deve divulgare i dati personali detenuti, deve rispondere alle correzioni, ecc. se ci sono errori nel contenuto, e deve interrompere l’uso delle informazioni se il trattamento viola gli obblighi legali come l’uso per scopi non previsti, metodi di acquisizione inappropriati, o la fornitura a terzi senza il consenso dell’individuo. Come descritto sopra, la legge sulla protezione dei dati personali è una legge che cerca di proteggere i diritti dei cittadini imponendo vari obblighi agli operatori che gestiscono i dati personali.

Sanzioni per la violazione della privacy

La Legge sulla Protezione dei Dati Personali giapponese (Legge sulla Protezione dei Dati Personali) prevede sanzioni nel caso in cui un’impresa riveli informazioni personali.

Se un’impresa viola la Legge sulla Protezione dei Dati Personali giapponese e rivela informazioni, inizialmente riceverà una “raccomandazione di cessare l’azione illegale e di prendere le misure necessarie per correggere la violazione” dal governo (Articolo 42). Se questa raccomandazione viene ignorata, l’impiegato che ha commesso la violazione può essere punito con “una pena detentiva fino a 6 mesi o una multa fino a 300.000 yen” (Articolo 84), e l’azienda che impiega tale individuo può anche essere soggetta a “una multa fino a 300.000 yen” (Articolo 85). Inoltre, se le informazioni sono state fornite o rubate con l’intento di ottenere un vantaggio ingiusto, la pena può essere “una pena detentiva fino a un anno o una multa fino a 500.000 yen” senza alcuna raccomandazione (Articolo 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Riassunto

La Legge Giapponese sulla Protezione dei Dati Personali è una legge che richiede agli operatori commerciali che gestiscono dati personali di farlo in modo appropriato e di adottare misure necessarie e adeguate per la gestione della sicurezza. È una legge importante che quasi tutte le aziende non possono evitare.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

È legale acquistare informazioni sui clienti? Spiegazione della 'Legge Giapponese sulla Protezione dei Dati Personali'

È legale acquistare informazioni sui clienti? Spiegazione della 'Legge Giapponese sulla Protezio.

General Corporate

Tre motivi per cui la sorveglianza delle email dei dipendenti dell'azienda non viola la privacy

Tre motivi per cui la sorveglianza delle email dei dipendenti dell'azienda non viola la privacy

General Corporate

Le recensioni diventano oggetto di regolamentazione secondo la 'Legge Giapponese sui Farmaci e Dispositivi Medici'? Spiegazione delle leggi correlate

Le recensioni diventano oggetto di regolamentazione secondo la 'Legge Giapponese sui Farmaci e D.

General Corporate

Cos'è il contratto di limitazione di responsabilità per gli amministratori non esecutivi? Procedura e punti da notare nella creazione del contratto

Cos'è il contratto di limitazione di responsabilità per gli amministratori non esecutivi? Proced.

General Corporate

Cosa è la correlazione tra l'asportazione di segreti commerciali e la 'Legge Giapponese sulla prevenzione della concorrenza sleale'?

Cosa è la correlazione tra l'asportazione di segreti commerciali e la 'Legge Giapponese sulla pr.

General Corporate

Cosa sono le misure amministrative per violazione della 'Legge Giapponese sui Dispositivi Farmaceutici'? Spiegazione con esempi

Cosa sono le misure amministrative per violazione della 'Legge Giapponese sui Dispositivi Farmac.

General Corporate

Cos'è lo Scraping? Spiegazione delle questioni legali relative al popolare metodo di raccolta dati

Cos'è lo Scraping? Spiegazione delle questioni legali relative al popolare metodo di raccolta da.

General Corporate

Quali sono le differenze tra la legge americana e quella giapponese? Punti da conoscere prima di stabilire una società locale

Quali sono le differenze tra la legge americana e quella giapponese? Punti da conoscere prima di.

General Corporate

Punti chiave da conoscere per stipulare un contratto di ricerca e sviluppo congiunto

Punti chiave da conoscere per stipulare un contratto di ricerca e sviluppo congiunto

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su