Cosa succede se si verifica una violazione dei dati personali? Spiegazione delle misure amministrative che le aziende dovrebbero adottare

Con lo sviluppo di Internet e la possibilità di scambiare informazioni online, ci sono sempre più casi in cui le informazioni cruciali delle aziende vengono involontariamente divulgate.

Negli ultimi anni, il valore delle informazioni è aumentato e, se si verifica una fuga di informazioni, può diventare un grave problema che danneggia la reputazione. Per le aziende, è richiesto di rispondere prontamente e adeguatamente in caso di fuga di informazioni.

In questo articolo, spiegheremo in dettaglio le misure che le aziende dovrebbero adottare in caso di fuga di informazioni, concentrandoci principalmente sulla risposta amministrativa.

Anche le perdite di informazioni richiedono un intervento amministrativo

Quando parliamo di perdite di informazioni, il contenuto e l’importanza delle informazioni variano. L’intervento amministrativo diventa necessario quando si verifica una perdita di informazioni personali.

La definizione di informazioni personali è stabilita nell’articolo 2, paragrafo 1, della Legge sulla protezione delle informazioni personali (di seguito, “Legge sulla protezione delle informazioni personali giapponese”).

(Definizione)
Articolo 2 Nella presente legge, per “informazioni personali” si intendono le informazioni relative a un individuo vivente che corrispondono a uno dei seguenti punti:
1. Informazioni che includono nome, data di nascita e altre descrizioni (documenti, disegni o registrazioni elettroniche (registrazioni create in modo elettronico, magnetico o in altro modo non riconoscibile dalla percezione umana. Lo stesso si applica nel seguente punto 2.) che possono identificare un individuo specifico (inclusi quelli che possono identificare un individuo specifico se facilmente confrontati con altre informazioni).
2. Informazioni che includono un codice di identificazione personale.

e-GOV｜Legge sulla protezione delle informazioni personali giapponese[ja]

Le informazioni che corrispondono alla definizione sopra sono protette come informazioni personali dalla Legge sulla protezione delle informazioni personali giapponese.

Articolo correlato: Cos’è la Legge sulla protezione delle informazioni personali e le informazioni personali? Spiegato da un avvocato[ja]

Inoltre, quando si verifica una perdita di informazioni, le aziende potrebbero dover prendere misure oltre all’intervento amministrativo, come la divulgazione delle informazioni. Si prega di fare riferimento all’articolo sottostante per maggiori dettagli.

Articolo correlato: Cosa dovrebbero divulgare le aziende in caso di perdita di informazioni[ja]

Obbligo di segnalazione in caso di violazione dei dati personali

Coloro che gestiscono i dati personali, noti come “Operatori di dati personali”, sono obbligati a segnalare alla Commissione per la Protezione dei Dati Personali Giapponese (Japanese Personal Information Protection Commission) quando si verifica una violazione dei dati personali o quando esiste la possibilità di tale violazione.

Prima del 1° aprile 2022 (4° anno dell’era Reiwa), la segnalazione alla Commissione per la Protezione dei Dati Personali in caso di violazione o possibile violazione non era un obbligo, ma era considerata una pratica consigliata. Tuttavia, a seguito della revisione della Legge sulla Protezione dei Dati Personali Giapponese (Japanese Personal Information Protection Law), a partire dal 1° aprile 2022, la segnalazione alla Commissione è diventata obbligatoria.

Per “Operatori di dati personali” si intendono coloro che utilizzano database di dati personali o simili per scopi commerciali (Articolo 16, Paragrafo 2, Legge sulla Protezione dei Dati Personali Giapponese). Tuttavia, le istituzioni statali, le entità pubbliche locali, le corporazioni amministrative indipendenti e le corporazioni amministrative locali indipendenti non sono incluse tra gli Operatori di dati personali.

Per “database di dati personali o simili” si intendono insiemi di informazioni che contengono dati personali e che soddisfano uno dei seguenti due requisiti, escludendo quelli che sono considerati a basso rischio di danneggiare i diritti e gli interessi degli individui secondo un decreto del governo (Articolo 16, Paragrafo 1, Legge sulla Protezione dei Dati Personali Giapponese):

• Informazioni organizzate in modo tale da permettere la ricerca di dati personali specifici utilizzando un computer
• Informazioni organizzate in modo tale da permettere la facile ricerca di dati personali specifici

Gli Operatori di dati personali che utilizzano database di dati personali o simili per scopi commerciali sono quindi soggetti all’obbligo di segnalazione alla Commissione per la Protezione dei Dati Personali.

Articolo correlato: Spiegazione dei punti da notare riguardo ai “Doveri dell’operatore” nella Legge sulla Protezione dei Dati Personali Giapponese modificata nel 2022[ja]

Quattro casi in cui è necessario segnalare alla Commissione per la Protezione dei Dati Personali

Esistono quattro casi in cui è necessario segnalare alla Commissione per la Protezione dei Dati Personali (Commissione per la Protezione dei Dati Personali giapponese) in caso di violazione dei dati personali, come stabilito dall’articolo 7 del Regolamento di attuazione della Legge sulla Protezione dei Dati Personali (Legge sulla Protezione dei Dati Personali giapponese).

1. Quando si verifica o si teme che possa verificarsi una violazione dei dati personali che includono informazioni personali sensibili
2. Quando si verifica o si teme che possa verificarsi una violazione dei dati personali che, se utilizzati impropriamente, potrebbero causare danni patrimoniali
3. Quando si verifica o si teme che possa verificarsi una violazione dei dati personali che potrebbe essere stata effettuata con intenti fraudolenti
4. Quando si verifica o si teme che possa verificarsi una violazione che coinvolge più di 1.000 individui

Di seguito, spiegheremo ciascuno di questi casi.

Violazione delle informazioni personali sensibili

Le “informazioni personali sensibili” si riferiscono a informazioni personali che richiedono particolare attenzione nel loro trattamento per evitare discriminazioni ingiuste, pregiudizi e altri svantaggi per l’individuo, come la razza, la fede, lo status sociale, la storia medica, il record criminale e le vittime di crimini, come definito per decreto.

Ad esempio, le informazioni relative alla storia medica di un dipendente, come i risultati degli esami medici, rientrano nella categoria delle informazioni personali sensibili.

Violazione dei dati personali che potrebbero causare danni patrimoniali

Questo caso riguarda la violazione dei dati personali che, se utilizzati impropriamente, potrebbero causare danni patrimoniali.

Un esempio concreto sarebbe se un’azienda dovesse violare le informazioni sulla carta di credito dei clienti.

Violazione dei dati personali con intenti fraudolenti

Questo caso si applica quando l’entità che ha causato la violazione dei dati personali ha un intento fraudolento.

Ad esempio, se un terzo o un dipendente di un’azienda accede illegalmente alla rete dell’azienda con l’intento di utilizzare impropriamente le informazioni personali e causa una violazione dei dati personali.

Violazione su larga scala dei dati personali

Questo caso si applica quando si verifica una violazione che coinvolge più di 1.000 individui.

Le aziende che gestiscono una grande quantità di dati personali devono prestare attenzione, poiché esiste la possibilità che possa verificarsi una violazione su larga scala dei dati personali in una sola volta.

Elementi da segnalare alla Commissione per la Protezione dei Dati Personali in caso di violazione dei dati

Se si verifica una situazione in cui è necessario segnalare alla Commissione per la Protezione dei Dati Personali, è necessario segnalare le questioni prescritte nell’articolo 8, paragrafo 1, del Regolamento di attuazione della legge sulla protezione dei dati personali.

(Segnalazione alla Commissione per la Protezione dei Dati Personali)
Articolo 8: Quando un operatore di trattamento dei dati personali deve fare una segnalazione ai sensi dell’articolo 26, paragrafo 1, del testo della legge, deve segnalare prontamente le questioni relative alla situazione prescritta nei punti dell’articolo precedente, dopo averne preso conoscenza (limitatamente a quelle di cui è a conoscenza al momento della segnalazione. Lo stesso vale per l’articolo successivo).

e-GOV｜Legge Giapponese sulla protezione dei dati personali[ja]

Se si verifica una delle quattro situazioni in cui è necessaria la segnalazione sopra menzionata, l’operatore deve segnalare prontamente alla Commissione per la Protezione dei Dati Personali le seguenti questioni:

• Descrizione generale
• Elementi di dati personali che sono stati o potrebbero essere violati
• Numero di individui coinvolti nei dati personali che sono stati o potrebbero essere violati
• Causa
• Presenza e contenuto di eventuali danni secondari o rischio di tali danni
• Stato di attuazione delle misure nei confronti dell’individuo
• Stato di attuazione della divulgazione
• Misure per prevenire la ricorrenza
• Altre questioni di riferimento

Tuttavia, è sufficiente segnalare solo quelle questioni di cui si è a conoscenza al momento della segnalazione.

Termine per la segnalazione alla Commissione per la Protezione dei Dati Personali in caso di perdita di informazioni

Esiste un termine per la segnalazione alla Commissione per la Protezione dei Dati Personali (Articolo 8, Paragrafo 2, del Regolamento di Esecuzione della Legge sulla Protezione dei Dati Personali Giapponese).

In linea di principio, la segnalazione alla Commissione per la Protezione dei Dati Personali deve essere effettuata entro 30 giorni dalla data in cui si è venuti a conoscenza della perdita di informazioni. Se l’entità che ha causato la perdita di dati personali ha un intento fraudolento, la segnalazione deve essere effettuata entro 60 giorni.

Obbligo di notifica all’interessato

Nel caso si verifichi una violazione dei dati personali, oltre all’obbligo di segnalazione alla Commissione per la Protezione dei Dati Personali (Giappone), è previsto anche un obbligo di notifica all’interessato (articolo 26, paragrafo 2, della Legge sulla Protezione dei Dati Personali giapponese).

L’obiettivo della notifica all’interessato è di prevenire la violazione dei diritti e degli interessi dell’interessato, permettendogli di prendere provvedimenti il più presto possibile in caso di violazione dei dati personali. Pertanto, gli operatori che gestiscono i dati personali sono tenuti a notificare prontamente l’interessato.

Riassunto: Per la gestione amministrativa delle violazioni dei dati personali, consultare un avvocato

Abbiamo spiegato, soprattutto in termini di risposta amministrativa, cosa deve fare un’azienda nel caso in cui si verifichi una violazione dei dati personali.

Per un’azienda, è ovviamente importante creare un sistema che impedisca la violazione dei dati, ma se dovesse verificarsi una violazione, è necessario rispondere adeguatamente.

La legge sulla protezione dei dati personali (Legge Giapponese sulla Protezione dei Dati Personali) è una legge che viene spesso modificata e ha una struttura complessa. Pertanto, per rispondere adeguatamente, si consiglia di consultare un avvocato con competenze specialistiche.

Presentazione delle misure adottate dal nostro studio legale

Lo Studio Legale Monolis è un’agenzia legale con una forte specializzazione in IT, in particolare nell’intersezione tra Internet e legge. Oggi, la fuga di informazioni personali è diventata un problema significativo. Nel caso in cui le informazioni personali vengano accidentalmente divulgate, ciò potrebbe avere un impatto devastante sulle attività aziendali. Il nostro studio possiede una conoscenza specialistica in materia di prevenzione e gestione delle fughe di informazioni. I dettagli sono descritti nell’articolo sottostante.