Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° anno dell'era Reiwa (2022)

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° anno dell'era Reiwa (2022)

General Corporate

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° anno dell'era Reiwa (2022)

Dal mese di aprile 2022 è entrata in vigore la legge riformata sulla protezione dei dati personali giapponese. Dopo aver discusso i punti da notare riguardo al “dovere dell’operatore” nella legge riformata sulla protezione dei dati personali del 2022, in questa occasione spiegheremo come utilizzare i dati e le relative penalità.

Panoramica della revisione del 2022 della Legge sulla Protezione dei Dati Personali (Legge sulla Protezione dei Dati Personali del 2022)

Panoramica della revisione del 2022 della Legge sulla Protezione dei Dati Personali

La revisione del 2022 della Legge Giapponese sulla Protezione dei Dati Personali riguarda i seguenti sei punti:

  1. La natura dei diritti individuali
  2. La natura dei doveri che gli operatori devono rispettare
  3. La natura del sistema per promuovere gli sforzi volontari da parte degli operatori
  4. La natura dell’utilizzo dei dati
  5. La natura delle penalità
  6. La natura dell’applicazione extraterritoriale della legge e del trasferimento transfrontaliero

Nell’articolo “Spiegazione dei punti da notare sulla ‘responsabilità degli operatori’ nella revisione del 2022 della Legge sulla Protezione dei Dati Personali[ja]“, abbiamo spiegato i punti (1) e (2) della revisione. In questo articolo, spiegheremo i punti (3), (4), (5) e (6).

Articolo correlato: Cos’è la Legge sulla Protezione dei Dati Personali e i dati personali? Spiegazione da parte di un avvocato[ja]

Il modo in cui funziona il sistema per promuovere l’impegno autonomo degli operatori

Il modo in cui funziona il sistema per promuovere l’impegno autonomo degli operatori sta diventando sempre più importante, con l’evoluzione della diversificazione delle attività commerciali e del progresso delle tecnologie IT. Le organizzazioni private stanno sviluppando regole autonome per la gestione dei dati personali in specifici settori e stanno fornendo attivamente orientamenti e altro ai soggetti interessati.

Nella legge giapponese sulla protezione dei dati personali, oltre alla Commissione per la protezione dei dati personali, si cerca di proteggere le informazioni utilizzando organizzazioni private, ed è stato istituito un sistema di organizzazioni accreditate. Le organizzazioni che gestiscono i reclami sulla gestione dei dati personali e forniscono informazioni sulla corretta gestione dei dati personali agli operatori possono diventare “organizzazioni accreditate per la protezione dei dati personali” ricevendo l’accreditamento dalla Commissione per la protezione dei dati personali. Con la legge modificata, il sistema di organizzazioni accreditate può ora accreditare organizzazioni che si occupano di specifici settori (dipartimenti) delle aziende (articolo 47, paragrafo 2). Questo è un tentativo di promuovere ulteriormente l’uso di organizzazioni accreditate e di promuovere la protezione dei dati personali utilizzando l’esperienza di organizzazioni che operano in specifici settori.

Il modo di utilizzare i dati

Sono state apportate due modifiche significative al modo di utilizzare i dati.

Creazione di “informazioni pseudonimizzate” e alleggerimento degli obblighi (Articolo 2, Paragrafo 9)

Secondo la legge attuale, le informazioni che sono state semplicemente pseudonimizzate rimangono “informazioni personali”, e le aziende sono tenute a rispettare vari obblighi relativi al trattamento delle informazioni personali. Tuttavia, c’è una crescente necessità di utilizzare queste “informazioni personali pseudonimizzate”, che permettono di effettuare analisi più dettagliate con metodi di elaborazione relativamente semplici, mantenendo un certo livello di sicurezza e la stessa utilità dei dati delle informazioni personali prima dell’elaborazione.

In risposta a ciò, la legge modificata ha introdotto le “informazioni pseudonimizzate”, che sono create rimuovendo i nomi e altri dati, e ha alleggerito gli obblighi, come la risposta alle richieste di divulgazione e sospensione dell’uso, a condizione che siano limitate all’analisi interna, al fine di promuovere l’innovazione.

Le informazioni pseudonimizzate create sono “informazioni su un individuo ottenute elaborando le informazioni personali in modo tale da non poter identificare un individuo specifico a meno che non siano confrontate con altre informazioni”. Ad esempio, “nome, età, data, ora, importo, negozio” sono stati trasformati in “ID temporaneo, età, data, ora, importo, negozio”. Gli esempi previsti di utilizzo includono “analisi interna per scopi non originariamente previsti o per nuovi scopi che sono difficili da determinare” (come la ricerca nel campo medico e farmaceutico, la rilevazione di frodi, la previsione delle vendite, ecc. per l’apprendimento del modello di apprendimento automatico), e “elaborazione delle informazioni personali che hanno raggiunto lo scopo dell’uso come informazioni pseudonimizzate e conservazione per l’analisi statistica futura”.

Per quanto riguarda il metodo di creazione delle informazioni pseudonimizzate, si richiede almeno che:

  • Rimuovere tutto o parte di una descrizione che può identificare un individuo specifico (ad esempio, il nome) (incluso il sostituto. Lo stesso vale in seguito)
  • Rimuovere tutto il codice di identificazione personale
  • Rimuovere una descrizione che potrebbe causare danni economici se utilizzata in modo improprio (ad esempio, il numero della carta di credito)

Queste misure sono richieste.

Obbligo di verificare le informazioni che si prevede diventeranno dati personali presso il destinatario (Articolo 26, Paragrafo 2)

Secondo la legge attuale, anche se si prevede che le informazioni che non sono dati personali presso il fornitore diventeranno dati personali presso il destinatario, non sono soggette a regolamentazione. Tuttavia, la legge modificata impone l’obbligo di verificare che il consenso dell’individuo sia stato ottenuto, ecc., per la fornitura a terzi di informazioni che non sono dati personali presso il fornitore, ma che si prevede diventeranno dati personali presso il destinatario.

A causa dello sviluppo e della diffusione di tecnologie che raccolgono una grande quantità di dati degli utenti e li combinano istantaneamente in dati personali, stanno diventando comuni schemi che eludono lo spirito della legge sulla protezione dei dati personali, fornendo a terzi come non informazioni personali pur sapendo in anticipo che diventeranno dati personali presso il destinatario. Questo è dovuto alla preoccupazione che si diffonda il metodo di raccolta di informazioni personali senza il coinvolgimento dell’individuo.

Sulle Penalità

Sulle Penalità

La natura delle penalità è stata modificata in due punti principali.

Inasprimento delle pene previste per la violazione degli ordini del Comitato e per la presentazione di false dichiarazioni al Comitato (Articoli 83, 87, ecc.)

Con l’aumento dei casi di violazione della legge, i casi in cui vengono effettuate raccolte di rapporti e ispezioni sono in aumento. Pertanto, è necessario migliorare l’efficacia delle raccolte di rapporti e delle ispezioni, che sono il punto di partenza per comprendere la realtà delle imprese. Nella legge modificata, le pene previste sono state inasprite.

La “violazione degli ordini del Comitato per la Protezione dei Dati Personali” da parte del trasgressore era punita con un massimo di sei mesi di reclusione o una multa fino a 300.000 yen secondo la legge attuale, ma con la legge modificata è stata punita con un massimo di un anno di reclusione o una multa fino a 1 milione di yen. La “fornitura illegale di database di informazioni personali, ecc.” rimane punita con un massimo di un anno di reclusione o una multa fino a 500.000 yen, ma la “presentazione di false dichiarazioni al Comitato per la Protezione dei Dati Personali”, che era punita con una multa fino a 300.000 yen secondo la legge attuale, è stata punita con una multa fino a 500.000 yen con la legge modificata.

Inasprimento delle multe per le persone giuridiche (Articoli 84, 85, ecc.)

Secondo la legge attuale, l’importo delle multe per le persone giuridiche era lo stesso delle pene previste per i trasgressori. Tuttavia, tenendo conto delle differenze di risorse tra persone giuridiche e individui, la legge modificata ha aumentato l’importo massimo delle multe per le persone giuridiche (multe più pesanti per le persone giuridiche) per violazioni degli ordini, ecc. Si ritiene che anche se si impone una multa dello stesso importo del trasgressore alla persona giuridica, non si può aspettare un sufficiente effetto deterrente dalla sanzione.

La “violazione degli ordini del Comitato per la Protezione dei Dati Personali” da parte di una persona giuridica era punita con una multa fino a 300.000 yen, lo stesso importo del trasgressore, secondo la legge attuale, ma con la legge modificata è stata punita con una multa fino a 100 milioni di yen. La “fornitura illegale di database di informazioni personali, ecc.” era punita con una multa fino a 500.000 yen, lo stesso importo del trasgressore, secondo la legge attuale, ma con la legge modificata è stata punita con una multa fino a 100 milioni di yen. Tuttavia, la “presentazione di false dichiarazioni al Comitato per la Protezione dei Dati Personali”, che era punita con una multa fino a 300.000 yen, lo stesso importo del trasgressore, secondo la legge attuale, è rimasta punita con una multa fino a 500.000 yen anche con la legge modificata.

Applicazione extraterritoriale della legge e modalità di trasferimento transfrontaliero

Per quanto riguarda l’applicazione extraterritoriale della legge e le modalità di trasferimento transfrontaliero, sono state apportate le seguenti due modifiche.

Rafforzamento dell’applicazione extraterritoriale (Articolo 75 della legge giapponese)

Nella legge attuale, i poteri che possono essere esercitati nei confronti degli operatori stranieri soggetti all’applicazione extraterritoriale della legge si limitavano a poteri non coercitivi come la guida, il consiglio e la raccomandazione. Tuttavia, c’era il rischio che la Commissione non potesse affrontare adeguatamente gli incidenti di perdita di dati all’estero. Pertanto, la legge modificata ha reso gli operatori stranieri che gestiscono informazioni personali e simili relative alla fornitura di beni o servizi farmaceutici da parte di individui in Giappone soggetti a sanzioni penali e ordini di raccolta di rapporti, rafforzando l’esercizio dei poteri della Commissione per la Protezione dei Dati Personali.

Miglioramento della fornitura di informazioni all’individuo riguardo al trattamento dei dati personali da parte dell’operatore del trasferimento (Articolo 78 della legge giapponese)

In alcuni paesi, si stanno iniziando a vedere regolamenti di controllo statale, e con l’aumento delle opportunità di trasferimento transfrontaliero di dati personali, le differenze nei sistemi tra paesi e regioni stanno rendendo instabile la prevedibilità per gli individui e gli operatori che gestiscono i dati, suscitando preoccupazioni dal punto di vista della protezione dei diritti e degli interessi degli individui.

In risposta a ciò, si è deciso di richiedere un miglioramento della fornitura di informazioni all’individuo riguardo al trattamento dei dati personali da parte dell’operatore del trasferimento quando si forniscono dati personali a terzi all’estero. Come requisito per poter fornire dati personali a terzi all’estero, la legge attuale richiedeva “il consenso dell’individuo”, ma la legge modificata ha reso obbligatoria la “fornitura di informazioni all’individuo al momento del consenso, riguardo al nome del paese di destinazione e alla presenza o meno di un sistema di protezione dei dati personali nel paese di destinazione”. Inoltre, per quanto riguarda il requisito di essere un “operatore che ha messo in atto un sistema conforme agli standard”, è stato reso obbligatorio “la verifica periodica della situazione di gestione dell’operatore di destinazione + la fornitura di informazioni correlate su richiesta dell’individuo”.

Riassunto

Sulle 'penalità' della legge sulla protezione dei dati personali modificata nel 2022

La revisione del 2022 della “Legge sulla protezione dei dati personali” giapponese, la prima modifica basata sulla “clausola di revisione ogni tre anni”, ha comportato l’espansione delle misure di sospensione e cancellazione, il divieto di uso improprio, il miglioramento della fornitura di informazioni relative al trasferimento transfrontaliero, la creazione di “informazioni pseudonimizzate”, ecc. Questo ha portato a rafforzare la protezione e l’utilizzo dei diritti e degli interessi individuali, a rispondere ai nuovi rischi associati all’aumento del flusso di dati transfrontalieri, e a prepararsi per l’era dell’IA e dei Big Data.

Presentazione delle misure adottate dal nostro studio legale

Lo Studio Legale Monolis è un’agenzia legale altamente specializzata in IT, in particolare nell’intersezione tra Internet e legge. La recentemente riformata ‘Legge Giapponese sulla Protezione dei Dati Personali’ sta attirando molta attenzione, e la necessità di controlli legali sta aumentando sempre di più. Il nostro studio offre soluzioni relative alla proprietà intellettuale. I dettagli sono descritti nell’articolo sottostante.

practices/corporate
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni di 650.000 casi presso la società giapponese 'Touken Corp

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni.

General Corporate

Punti chiave da controllare nel contratto di licenza del marchio nel Brand Licensing

Punti chiave da controllare nel contratto di licenza del marchio nel Brand Licensing

General Corporate

Quali sono le regole del lavoro aziendale da rivedere quando si riconosce un sistema di lavoro secondario?

Quali sono le regole del lavoro aziendale da rivedere quando si riconosce un sistema di lavoro s.

General Corporate

Cosa è un term sheet nel caso di investimenti ricevuti tramite J-KISS

Cosa è un term sheet nel caso di investimenti ricevuti tramite J-KISS

General Corporate

Non fallire! “Leggi da conoscere per le 'M&A personali'”

Non fallire! “Leggi da conoscere per le 'M&A personali'”

General Corporate

Punti da considerare nella pubblicazione di annunci di integratori alimentari

Punti da considerare nella pubblicazione di annunci di integratori alimentari

General Corporate

Cosa è il dovere di riservatezza di un avvocato? Spiegazione dell'ambito di esclusione del dovere di riservatezza e delle relative sanzioni

Cosa è il dovere di riservatezza di un avvocato? Spiegazione dell'ambito di esclusione del dover.

General Corporate

La relazione tra i servizi SaaS con funzionalità di chat e newsletter e la 'Legge Giapponese sulle Telecomunicazioni Elettriche'

La relazione tra i servizi SaaS con funzionalità di chat e newsletter e la 'Legge Giapponese sul.

General Corporate

Richiedere l'editing video a un lavoratore del cloud: Spiegazione dei 6 punti chiave del contratto di outsourcing

Richiedere l'editing video a un lavoratore del cloud: Spiegazione dei 6 punti chiave del contrat.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su