Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Quali sono i punti chiave della revisione della legge sulla protezione dei dati personali del 2024 (Reiwa 6)?

Quali sono i punti chiave della revisione della legge sulla protezione dei dati personali del 2024 (Reiwa 6)?

General Corporate

Quali sono i punti chiave della revisione della legge sulla protezione dei dati personali del 2024 (Reiwa 6)?

Nel mese di aprile del 2024 (Reiwa 6), entreranno in vigore le norme riviste della Legge Giapponese sulla Protezione dei Dati Personali. Questa revisione estenderà l’obbligo di segnalazione alla Commissione Giapponese per la Protezione dei Dati Personali e l’obbligo di notifica agli individui interessati in caso di perdite o situazioni simili.

Il punto chiave di questa revisione risiede nell’affrontare problemi recenti legati ai dati personali, come il web skimming.

Tuttavia, per comprendere accuratamente le modifiche e agire in modo appropriato, è necessaria una conoscenza specialistica. Molti potrebbero trovarsi nella situazione di non sapere quali misure adottare per la propria azienda. Questo articolo spiegherà i punti principali della revisione del 2024 (Reiwa 6) e le strategie da adottare.

Riepilogo delle modifiche alla Legge sulla Protezione dei Dati Personali del 2024 (Reiwa 6)

Le modifiche degne di nota nella revisione del 2024 (Reiwa 6) della Legge Giapponese sulla Protezione dei Dati Personali riguardano l’estensione degli obblighi di notifica e rapporto in caso di perdite e l’obbligo di adottare misure di sicurezza, che ora si applicano anche a determinate “informazioni personali”.

Secondo la normativa precedente, gli obblighi di rapporto in caso di perdite si applicavano solo ai “dati personali” e non includevano le “informazioni personali”.

Con questa revisione, i dettagli delle modifiche sono stati inclusi nell’articolo 7, paragrafo 3, del Regolamento di Attuazione della Legge Giapponese sulla Protezione dei Dati Personali e nelle “Linee guida sulla Legge Giapponese sulla Protezione dei Dati Personali (Parte Generale)”[ja].

Legge modificataPrima della modifica
Obbligo di rapporto in caso di perdite, ecc.Presente (in determinati casi)Assente
Obbligo di adottare misure di sicurezzaPresente (in determinati casi)Assente
Modifiche nel trattamento di alcune informazioni personali

Di seguito, spiegheremo in dettaglio il contenuto specifico delle regolamentazioni e delle modifiche.

Gli obiettivi della regolamentazione nella precedente Legge sulla Protezione dei Dati Personali

Gli obiettivi della regolamentazione nella precedente Legge sulla Protezione dei Dati Personali

Per comprendere il contenuto della legge modificata, è essenziale avere una chiara comprensione delle regolamentazioni e delle definizioni stabilite prima della modifica. In questa sezione, spiegheremo le definizioni e i contenuti delle regolamentazioni precedentemente stabiliti.

La differenza tra informazioni personali e dati personali

Nella Legge sulla Protezione delle Informazioni Personali (Japanese Personal Information Protection Act), si distingue tra “informazioni personali” e “dati personali” come oggetti di protezione.

Le “informazioni personali” si riferiscono a informazioni relative a un individuo vivente, che possono identificare una specifica persona tramite descrizioni come il nome o la data di nascita contenute nelle informazioni. Questo è definito nell’articolo 2, paragrafo 1, punto 1 della Legge sulla Protezione delle Informazioni Personali (Japanese Personal Information Protection Act).

Articolo correlato: Revisione della Legge sulla Protezione delle Informazioni Personali del Reiwa 4 (2022) con l’introduzione di informazioni processate in forma anonima e altro per promuovere l’utilizzo dei dati[ja]

D’altra parte, i “dati personali” si riferiscono alle informazioni personali che costituiscono un database di informazioni personali, come stabilito nell’articolo 16, paragrafo 1 della Legge sulla Protezione delle Informazioni Personali (Japanese Personal Information Protection Act).

Ad esempio, quando si crea un elenco di partecipanti a un evento, le informazioni come il nome e l’indirizzo inviati dai partecipanti sono denominate “informazioni personali”. E il database creato raccogliendo le informazioni personali di ciascun partecipante in un foglio di calcolo è chiamato “database di informazioni personali”. Le singole informazioni che costituiscono questo database sono considerate “dati personali”.

È necessario comprendere che, nella Legge sulla Protezione delle Informazioni Personali (Japanese Personal Information Protection Act), il contenuto della regolamentazione cambia notevolmente a seconda che l’oggetto di protezione sia “informazioni personali” o “dati personali”.

Cosa sono gli obblighi di segnalazione e notifica in caso di perdita di dati

La Legge sulla Protezione dei Dati Personali impone agli operatori che trattano dati personali, in caso di perdita di dati personali, di segnalare l’accaduto alla Commissione per la Protezione dei Dati Personali e di notificare la persona interessata.

(Segnalazione e notifica in caso di perdita di dati)
Articolo 26 Gli operatori che trattano dati personali, in caso di perdita, distruzione, danneggiamento o altre situazioni che compromettono la sicurezza dei dati personali trattati e che potrebbero gravemente pregiudicare i diritti e gli interessi delle persone, come definito dalle norme della Commissione per la Protezione dei Dati Personali, devono segnalare l’accaduto alla Commissione per la Protezione dei Dati Personali secondo quanto stabilito dalle stesse norme. Tuttavia, se l’operatore che tratta dati personali ha affidato tutto o parte del trattamento dei dati personali ad altri operatori o enti amministrativi, e ha notificato l’accaduto a tali altri operatori o enti amministrativi secondo quanto stabilito dalle norme, non è soggetto a questa disposizione.
2 In caso di situazioni previste dal paragrafo precedente, gli operatori che trattano dati personali (esclusi coloro che hanno effettuato la notifica secondo la disposizione di esclusione del paragrafo precedente) devono notificare l’accaduto alla persona interessata secondo quanto stabilito dalle norme della Commissione per la Protezione dei Dati Personali. Tuttavia, se è difficile notificare la persona interessata e sono state adottate misure alternative necessarie per proteggere i diritti e gli interessi della persona, questa disposizione non si applica.

Legge sulla Protezione dei Dati Personali | Ricerca normativa e-Gov[ja]

Gli obblighi di segnalazione e notifica non si applicano a tutti i casi di perdita di dati. Sono obbligatori solo nei quattro casi specificati all’articolo 7 del regolamento di attuazione della Legge sulla Protezione dei Dati Personali:

  1. Perdita di dati personali che includono informazioni sensibili (esempio: risultati di esami medici dei dipendenti)
  2. Perdita di dati personali che potrebbe portare a danni economici a causa di un uso improprio (esempio: numeri di carta di credito)
  3. Perdita di dati personali che potrebbe essere stata effettuata con intenti illeciti
  4. Perdita di dati personali che riguarda più di 1000 persone

In questa revisione, è stato modificato il contenuto del punto 3 dell’articolo 7.

Cosa sono le misure di gestione della sicurezza

La Legge sulla Protezione dei Dati Personali impone agli operatori che trattano dati personali di adottare misure necessarie e appropriate per prevenire la perdita, la divulgazione o il danneggiamento dei dati personali e per garantirne la sicura gestione.

(Misure di gestione della sicurezza)
Articolo 23. Gli operatori che trattano dati personali devono adottare le misure necessarie e appropriate per prevenire la perdita, la divulgazione o il danneggiamento dei dati personali e per garantirne la sicura gestione.

Legge sulla Protezione dei Dati Personali | Ricerca normativa e-Gov[ja]

A titolo di esempio, si possono citare il controllo degli accessi, la formazione dei dipendenti e l’istituzione di regolamenti interni.

Regolamentazioni soggette a modifica prima della revisione

Prima della revisione, gli obblighi di notifica in caso di perdite e di adottare misure di sicurezza erano imposti solo per i “dati personali”. Per quanto riguarda le “informazioni personali”, anche in caso di perdite, non era previsto che gli operatori economici dovessero assumersi tali obblighi.

Tuttavia, la recente modifica ha esteso l’ambito di applicazione degli obblighi di notifica e di implementazione delle misure di sicurezza ad alcune “informazioni personali”.

Finalità e obiettivi della revisione del regolamento di attuazione della Legge sulla Protezione dei Dati Personali

Finalità e obiettivi della revisione del regolamento di attuazione della Legge sulla Protezione dei Dati Personali

La revisione attuale si focalizza principalmente sulle misure contro il web skimming. Il web skimming è un metodo di attacco che consiste nell’installare programmi malevoli su siti e-commerce per rubare dati personali.

In particolare, esiste un metodo che permette di ottenere direttamente le informazioni come password e dati delle carte di credito inserite dagli utenti nei moduli di inserimento, direttamente dalla pagina di inserimento.

Nel caso del web skimming, la caratteristica principale è che le informazioni inserite dagli utenti vengono rubate direttamente prima che queste vengano integrate nelle basi dati dei dati personali degli operatori dei siti e-commerce. In questa fase, le informazioni rubate sono ancora “informazioni personali” e non sono ancora diventate “dati personali”.

Prima della revisione, l’obbligo di segnalazione delle fughe di informazioni era limitato solo ai “dati personali”. Pertanto, anche in caso di incidenti di web skimming, gli operatori dei siti e-commerce non erano obbligati a effettuare segnalazioni.

La revisione attuale mira a includere anche le fughe di informazioni causate dal web skimming tra gli incidenti da segnalare, estendendo l’ambito di applicazione della segnalazione di fuga di informazioni e delle misure di sicurezza a includere le “informazioni personali”.

Contenuto della revisione del Regolamento di attuazione della Legge sulla Protezione dei Dati Personali del 2024 (Reiwa 6)

Espansione degli obblighi di segnalazione e notifica in caso di perdite

Il paragrafo 3 dell’articolo 7 del Regolamento di attuazione della Legge sulla Protezione dei Dati Personali è stato modificato come segue.

Legge modificataPrima della modifica
L’articolo 7, paragrafo 26, comma 1 del testo prevede che gli elementi definiti dalle regole della Commissione per la Protezione dei Dati Personali come potenzialmente dannosi per i diritti e gli interessi delle persone sono quelli che corrispondono a uno dei seguenti punti. In particolare, situazioni in cui la perdita di dati personali (inclusi i dati personali che l’operatore di trattamento dei dati personali ha acquisito o sta tentando di acquisire, e che sono previsti per essere trattati come dati personali) si verifica o potrebbe verificarsi a causa di atti compiuti con scopi illeciti nei confronti dell’operatore di trattamento dei dati personali.L’articolo 7, paragrafo 26, comma 1 del testo prevede che gli elementi definiti dalle regole della Commissione per la Protezione dei Dati Personali come potenzialmente dannosi per i diritti e gli interessi delle persone sono quelli che corrispondono a uno dei seguenti punti. In particolare, situazioni in cui la perdita di dati personali si verifica o potrebbe verificarsi a causa di atti compiuti con scopi illeciti.
Regolamento di attuazione della Legge Giapponese sulla Protezione dei Dati Personali | Ricerca normativa e-Gov[ja]

“L’operatore di trattamento dei dati personali” include anche i fornitori di servizi e i subappaltatori che gestiscono dati personali.

Inoltre, la decisione se le informazioni personali che l’operatore di trattamento dei dati personali intende acquisire rientrino in questa categoria deve essere presa considerando i mezzi di acquisizione delle informazioni personali e giudicando oggettivamente (Guida generale 3-5-3-1).

Questo rappresenta un importante cambiamento nella revisione del 2024 (Reiwa 6), poiché l’ambito degli obblighi di segnalazione e notifica in caso di perdite è stato esteso a includere i dati personali in determinate circostanze.

Espansione degli obiettivi delle misure di sicurezza

A seguito della revisione della regolamentazione sugli obblighi di segnalazione in caso di perdite, anche il contenuto della Guida generale 3-4-2 della Legge sulla Protezione dei Dati Personali è stato modificato.

Le misure di sicurezza che gli operatori devono adottare includono ora azioni necessarie e appropriate per prevenire la perdita di dati personali (inclusi i dati personali che l’operatore di trattamento dei dati personali ha acquisito o sta tentando di acquisire) che si prevede saranno trattati come dati personali.

L’ambito delle misure di sicurezza è stato quindi esteso non solo ai “dati personali” ma anche alle “informazioni personali” in determinate circostanze.

Riferimento: Commissione per la Protezione dei Dati Personali | Linee guida sulla Legge Giapponese per la Protezione dei Dati Personali (in vigore dal 1 aprile 2024 (Reiwa 6)) – Edizione generale

Misure da adottare in seguito all’entrata in vigore della legge rivista sulla protezione dei dati personali

Misure da adottare in seguito all'entrata in vigore della legge rivista sulla protezione dei dati personali

Le misure da adottare in risposta all’entrata in vigore della legge rivista sulla protezione dei dati personali nel sesto anno dell’era Reiwa (2024) sono le seguenti due.

  • Rivedere la politica sulla privacy
  • Rivedere e divulgare le regole interne

Esaminiamo ciascuna di queste in dettaglio.

Rivedere la politica sulla privacy

I gestori di dati personali devono assicurare che le misure di sicurezza per i dati personali in loro possesso siano note all’interessato. Questo include anche la capacità di rispondere prontamente alle richieste dell’interessato (Articolo 32, Paragrafo 1, Punto 4 della Legge Giapponese sulla Protezione dei Dati Personali).

I gestori che hanno affrontato questo aspetto includendo le misure di sicurezza dei dati personali nella loro politica sulla privacy devono prestare attenzione. È necessario aggiungere alla politica sulla privacy una disposizione che includa specifici dati personali tra gli oggetti delle misure di sicurezza.

Rivedere e divulgare le regole interne

È necessario riflettere nelle regole interne e informare i dipendenti che l’obbligo di segnalazione e notifica si applica ora anche in caso di perdita di alcuni dati personali.

Le situazioni in cui può verificarsi una perdita di dati personali, ora soggette a segnalazione, non si limitano al web skimming.

Ad esempio, immaginiamo che un gestore di dati personali invii ai clienti una busta per la risposta con l’indirizzo modificato, e che le informazioni personali scritte sul questionario all’interno della busta finiscano in mani terze. In questo caso, se le informazioni personali erano destinate ad essere trattate come dati personali, si verifica una situazione che richiede la segnalazione e la notifica della perdita di dati.

Poiché il trattamento di alcune informazioni personali, che prima non generava obblighi, ora cambia, è necessario richiamare l’attenzione dei dipendenti su questo aspetto.

Riassunto: Consultare un esperto per affrontare le modifiche alla Legge sulla Protezione dei Dati Personali

Con la revisione del 2024 (Reiwa 6) della Legge Giapponese sulla Protezione dei Dati Personali, si è ampliato l’ambito di applicazione delle misure di sicurezza e degli obblighi di notifica e segnalazione in caso di perdite, tenendo in considerazione le contromisure contro il web skimming. Prima della revisione, solo i “dati personali” erano considerati, ma ora, in certi casi, anche le “informazioni personali” sono incluse.

A seguito di questa revisione, è necessario adottare misure come la revisione delle politiche sulla privacy e delle normative interne.

Quando si tratta di gestire le informazioni personali, un errore nelle misure può portare a gravi rischi come la perdita di credibilità sociale. Si raccomanda di consultare un avvocato per affrontare queste questioni.

Guida alle misure adottate dal nostro studio

Lo studio legale Monolith possiede una vasta esperienza sia nel settore IT, in particolare in quello di Internet, sia nel campo legale. Di recente, la fuga di informazioni personali è diventata un problema significativo. Nel caso in cui si verifichi una perdita di dati personali, ciò può avere un impatto devastante sull’attività aziendale. Il nostro studio ha una conoscenza specialistica nella prevenzione e nelle strategie di risposta alle fughe di informazioni. Troverete maggiori dettagli nell’articolo sottostante.

Aree di competenza dello studio legale Monolith: Legge sulla protezione dei dati personali e servizi legali correlati[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

【Flash News】La Commissione Giapponese per la Protezione dei Dati Personali ordina la sospensione all'operatore della 'Mappa dei Falliti

【Flash News】La Commissione Giapponese per la Protezione dei Dati Personali ordina la sospensione.

General Corporate

Che cosa è l'inganno di superiorità nella Legge Giapponese sulla Regolamentazione della Pubblicità dei Premi (Jōhinpyō Hō)? Differenze e casi pratici rispetto all'inganno di vantaggio

Che cosa è l'inganno di superiorità nella Legge Giapponese sulla Regolamentazione della Pubblici.

General Corporate

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni di 650.000 casi presso la società giapponese 'Touken Corp

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni.

General Corporate

Sviluppo del proprio business con 'informazioni segrete' dopo la conclusione di un NDA. Spiegazione dei rischi legali associati.

Sviluppo del proprio business con 'informazioni segrete' dopo la conclusione di un NDA. Spiegazi.

General Corporate

Riduzione dell'onere della prova per i danni da versioni pirata: spiegazione della revisione della 'Legge Giapponese sul Diritto d'Autore' in vigore da gennaio (Reiwa 8) 2024

Riduzione dell'onere della prova per i danni da versioni pirata: spiegazione della revisione del.

General Corporate

Cosa succede se si viene citati in giudizio per un incidente nell'assistenza agli anziani? Spiegazione dettagliata della responsabilità risarcitoria delle strutture e delle contromisure.

Cosa succede se si viene citati in giudizio per un incidente nell'assistenza agli anziani? Spieg.

General Corporate

Punti di attenzione nella governance familiare relativi ai contratti coniugali e ai contratti di partnership che ogni imprenditore dovrebbe conoscere

Punti di attenzione nella governance familiare relativi ai contratti coniugali e ai contratti di.

General Corporate

Cosa è cambiato con la revisione della 'Legge sul Design Giapponese' del 2019? Spiegazione di 3 punti specifici

Cosa è cambiato con la revisione della 'Legge sul Design Giapponese' del 2019? Spiegazione di 3 .

General Corporate

Transazioni in aumento oltre i confini nazionali: la legge applicabile ai contratti internazionali necessari per il commercio internazionale e le differenze rispetto ai contratti nazionali

Transazioni in aumento oltre i confini nazionali: la legge applicabile ai contratti internaziona.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su