Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Quais são os pontos-chave da revisão da Lei de Proteção de Dados Pessoais no ano Reiwa 6 (2024)? Explicação das alterações importantes e medidas a tomar

Quais são os pontos-chave da revisão da Lei de Proteção de Dados Pessoais no ano Reiwa 6 (2024)? Explicação das alterações importantes e medidas a tomar

General Corporate

Quais são os pontos-chave da revisão da Lei de Proteção de Dados Pessoais no ano Reiwa 6 (2024)? Explicação das alterações importantes e medidas a tomar

Em abril de 2024 (Reiwa 6), as regras revistas da Lei Japonesa de Proteção de Dados Pessoais entrarão em vigor. Esta revisão expande o âmbito das obrigações de reportar à Comissão de Proteção de Dados Pessoais e de notificar o indivíduo afetado em caso de uma violação de dados.

O foco principal desta revisão está em abordar problemas recentes relacionados com a proteção de dados pessoais, como o web skimming.

Contudo, para compreender e responder adequadamente às alterações, é necessário ter conhecimento especializado. Muitas pessoas podem estar incertas sobre as medidas específicas que a sua empresa deve tomar. Este artigo explicará os pontos principais da revisão de 2024 (Reiwa 6) e as estratégias de resposta.

Resumo das Alterações na Lei de Proteção de Dados Pessoais no ano de Reiwa 6 (2024)

As alterações notáveis na Lei de Proteção de Dados Pessoais, revista no ano de Reiwa 6 (2024), incluem a expansão do âmbito das obrigações de notificação e relatório em caso de fuga de informação, bem como das medidas de segurança a serem implementadas, que agora abrangem certos “dados pessoais”.

Na regulamentação anterior, apenas os “dados pessoais” estavam sujeitos à obrigação de relatório em caso de fuga de informação, e os “dados pessoais” não estavam incluídos.

Com esta revisão, as alterações foram detalhadas no Artigo 7, Parágrafo 3, das Regras de Execução da Lei de Proteção de Dados Pessoais e nas “Diretrizes da Lei de Proteção de Dados Pessoais (Edição Geral)”[ja].

Lei RevistaAntes da Revisão
Obrigação de Relatório em Caso de Fuga de InformaçãoAplica-se (em certos casos)Não se aplica
Obrigação de Implementar Medidas de SegurançaAplica-se (em certos casos)Não se aplica
Alterações no Tratamento de Certos Dados Pessoais

Os detalhes específicos das regulações e alterações serão explicados a seguir.

Alvos de Regulação na Lei de Proteção de Dados Pessoais até agora

Alvos de Regulação na Lei de Proteção de Dados Pessoais até agora

Para compreender o conteúdo da lei revisada, é essencial ter um entendimento preciso das regras e definições regulatórias estabelecidas antes da revisão. Aqui, explicaremos as definições e o conteúdo das regulações definidas antes da alteração.

A diferença entre Informação Pessoal e Dados Pessoais

Na Lei de Proteção de Informações Pessoais, considera-se separadamente “Informação Pessoal” e “Dados Pessoais” como objetos de proteção.

“Informação Pessoal” refere-se a informações sobre um indivíduo vivo, que podem identificar uma pessoa específica através de descrições contidas na informação, como nome e data de nascimento. Isto está definido no Artigo 2, Parágrafo 1, Item 1 da Lei de Proteção de Informações Pessoais Japonesa.

Artigo relacionado: Lei de Proteção de Informações Pessoais Japonesa, revisão do ano de Reiwa 4 (2022) com a introdução de ‘Informações Processadas Anonimamente’ entre outras, para promover a utilização de dados[ja]

Por outro lado, “Dados Pessoais” referem-se às informações pessoais que compõem uma base de dados de informações pessoais, conforme estabelecido no Artigo 16, Parágrafo 1 da Lei de Proteção de Informações Pessoais Japonesa.

Por exemplo, ao criar uma lista de participantes de um evento, as informações enviadas pelos inscritos, como nome e endereço, são chamadas de “Informação Pessoal”. E a base de dados criada ao compilar as informações pessoais de cada inscrito em uma planilha é a “Base de Dados de Informações Pessoais”. As informações individuais que compõem esta base de dados são consideradas “Dados Pessoais”.

É necessário entender que, na Lei de Proteção de Informações Pessoais, o objeto de proteção, seja “Informação Pessoal” ou “Dados Pessoais”, altera significativamente o conteúdo da regulamentação.

O que são as obrigações de notificação e relatório de vazamentos

A Lei de Proteção de Dados Pessoais obriga os operadores de dados pessoais a notificar a Comissão de Proteção de Dados Pessoais e a informar o titular dos dados, caso ocorra um vazamento de dados pessoais.

(Relatório de vazamentos, etc.)
Artigo 26. Os operadores de dados pessoais devem, quando ocorrer um incidente relacionado à segurança dos dados pessoais que manuseiam, como vazamento, perda, dano ou qualquer outro incidente que possa afetar significativamente os direitos e interesses dos indivíduos, conforme definido pelas regras da Comissão de Proteção de Dados Pessoais, reportar tal incidente à Comissão de Proteção de Dados Pessoais, conforme estabelecido por essas regras. No entanto, isso não se aplica se o operador de dados pessoais, tendo recebido a delegação total ou parcial do manuseio desses dados pessoais de outro operador de dados pessoais ou de uma entidade governamental, notificar tal incidente a esse outro operador de dados pessoais ou entidade governamental, conforme definido pelas regras da Comissão de Proteção de Dados Pessoais.
2. Nos casos previstos no parágrafo anterior, os operadores de dados pessoais (exceto aqueles que notificaram conforme a exceção mencionada) devem notificar o titular dos dados sobre o incidente, conforme definido pelas regras da Comissão de Proteção de Dados Pessoais. No entanto, isso não se aplica se for difícil notificar o titular dos dados e medidas alternativas necessárias para proteger os direitos e interesses do titular dos dados forem tomadas.

Lei de Proteção de Dados Pessoais | Pesquisa de legislação e-Gov[ja]

As obrigações de notificação e relatório não se aplicam a todos os casos de vazamento de dados. Elas são limitadas aos seguintes quatro casos, conforme definido pelo Artigo 7 das regras de execução da Lei de Proteção de Dados Pessoais:

  1. Vazamento de dados pessoais que incluem informações sensíveis (exemplo: resultados de exames médicos de funcionários)
  2. Vazamento de dados pessoais que possam resultar em danos financeiros devido a uso indevido (exemplo: números de cartão de crédito)
  3. Vazamento de dados pessoais que possam ter sido realizados com intenções fraudulentas
  4. Vazamento de dados pessoais que afetam mais de 1000 indivíduos

Esta revisão alterou o conteúdo do item 3 do Artigo 7.

O que são Medidas de Gestão de Segurança

A Lei de Proteção de Dados Pessoais obriga os operadores de dados pessoais a adotarem medidas necessárias e adequadas para prevenir a fuga de dados pessoais e garantir a sua segurança.

(Medidas de Gestão de Segurança)
O Artigo 23.º obriga os operadores de dados pessoais a adotarem as medidas necessárias e adequadas para prevenir a fuga, perda ou dano dos dados pessoais que manuseiam, bem como para garantir a segurança desses dados.

Lei de Proteção de Dados Pessoais | Pesquisa de Legislação e-Gov[ja]

Como exemplos concretos, podemos citar o controlo de acesso, a formação de empregados e a implementação de regulamentos.

Regulação Antes da Revisão

Antes da revisão, os sujeitos obrigados a reportar incidentes de fuga de informação e a implementar medidas de gestão de segurança eram apenas aqueles que lidavam com “dados pessoais”. No que toca a “informação pessoal”, mesmo que ocorresse uma fuga de informação, os operadores não eram obrigados a assumir tais responsabilidades.

Contudo, a alteração expandiu o âmbito das obrigações de reporte e notificação, bem como a instalação de medidas de gestão de segurança, para incluir certas “informações pessoais”.

Propósito e Objetivo da Revisão do Regulamento de Execução da Lei de Proteção de Dados Pessoais

Propósito e Objetivo da Revisão do Regulamento de Execução da Lei de Proteção de Dados Pessoais

Esta revisão tem como foco principal as medidas contra o web skimming. O web skimming é uma técnica de ataque que consiste na instalação de programas maliciosos em sites de comércio eletrónico, entre outros, para roubar informações pessoais.

Concretamente, existe um método que permite obter diretamente, a partir da página de inserção, informações como senhas e dados de cartões de crédito que os utilizadores introduzem nos formulários.

No web skimming, a característica distintiva é que as informações inseridas pelos utilizadores são roubadas diretamente antes de serem incorporadas nas bases de dados de informações pessoais dos operadores de sites de comércio eletrónico, entre outros. Neste caso, o que é roubado são as “informações pessoais” antes de serem transformadas em “dados pessoais”.

Antes da revisão, a obrigação de reportar fugas de informação aplicava-se apenas aos “dados pessoais”. Por isso, mesmo que ocorresse um incidente de web skimming, os operadores de sites de comércio eletrónico não eram obrigados a reportar o incidente.

O objetivo desta revisão é incluir as fugas de informação através de web skimming entre os incidentes a reportar, expandindo o âmbito das obrigações de reporte de fugas de informação e das medidas de segurança para incluir as “informações pessoais”.

Conteúdo da Revisão das Regras de Execução da Lei de Proteção de Dados Pessoais no ano de Reiwa 6 (2024)

Expansão do Âmbito de Obrigações de Notificação de Violações

Artigo 7, parágrafo 3, das Regras de Execução da Lei de Proteção de Dados Pessoais foi alterado da seguinte forma.

Lei RevisadaAntes da Revisão
Artigo 7, Artigo 26, parágrafo 1, texto principal, os casos considerados pela Comissão de Proteção de Dados Pessoais como tendo grande potencial de prejudicar os direitos e interesses dos indivíduos devem corresponder a qualquer dos seguintes itens. Item 3: Situações em que ocorreu ou pode ocorrer uma violação de dados pessoais (incluindo informações pessoais que o operador de dados pessoais adquiriu ou está tentando adquirir, e que estão previstas para serem tratadas como dados pessoais) devido a atos contra o operador de dados pessoais com possíveis intenções fraudulentas.Artigo 7, Artigo 26, parágrafo 1, texto principal, os casos considerados pela Comissão de Proteção de Dados Pessoais como tendo grande potencial de prejudicar os direitos e interesses dos indivíduos devem corresponder a qualquer dos seguintes itens. Item 3: Situações em que ocorreu ou pode ocorrer uma violação de dados pessoais devido a possíveis intenções fraudulentas.
Regras de Execução da Lei de Proteção de Dados Pessoais | Pesquisa de Legislação e-Gov[ja]

“Operador de dados pessoais” inclui terceiros contratados e fornecedores de serviços de tratamento de dados pessoais.

Além disso, se as informações pessoais que o operador de dados pessoais está tentando adquirir são consideradas como tal, deve-se julgar objetivamente, levando em consideração os meios de aquisição de informações pessoais (Guia Geral 3-5-3-1).

Assim, a expansão do âmbito das obrigações de notificação e relatório de violações para incluir “informações pessoais” em certos casos é um dos principais pontos de mudança na revisão do ano de Reiwa 6 (2024).

Expansão do Âmbito das Medidas de Segurança

Com a revisão das regulamentações sobre obrigações de notificação de violações, a descrição na Parte Geral das Diretrizes da Lei de Proteção de Dados Pessoais, seção 3-4-2, também foi alterada.

As medidas de segurança que os operadores de dados pessoais devem implementar agora incluem medidas necessárias e apropriadas para prevenir violações de informações pessoais (incluindo informações pessoais que o operador de dados pessoais adquiriu ou está tentando adquirir) que estão previstas para serem tratadas como dados pessoais.

O âmbito das medidas de segurança foi expandido para incluir não apenas “dados pessoais”, mas também “informações pessoais” em certos casos.

Referência: Comissão de Proteção de Dados Pessoais | Diretrizes sobre a Lei de Proteção de Dados Pessoais (em vigor a partir de 1 de abril de Reiwa 6 (2024)) – Parte Geral

Medidas a Tomar com a Implementação da Lei Revisada de Proteção de Dados Pessoais

Medidas a Tomar com a Implementação da Lei Revisada de Proteção de Dados Pessoais

As medidas a tomar em resposta à implementação da Lei Revisada de Proteção de Dados Pessoais no ano de 2024 (Reiwa 6) são as seguintes:

  • Revisar a Política de Privacidade
  • Revisar e divulgar as regras internas

Vamos examinar cada uma em detalhe.

Revisar a Política de Privacidade

Os operadores de dados pessoais devem colocar as medidas de segurança da informação pessoal que possuem em um estado que possa ser conhecido pelo titular dos dados. Isso inclui estar em condições de responder prontamente a solicitações do titular dos dados (Artigo 32, Parágrafo 1, Item 4 da Lei Japonesa de Proteção de Dados Pessoais).

Os operadores que lidam com medidas de segurança de dados pessoais na Política de Privacidade precisam ter cuidado. É necessário adicionar à Política de Privacidade que certas informações pessoais são agora incluídas nas medidas de segurança.

Revisar e divulgar as regras internas

A necessidade de reportar e notificar mesmo em casos de vazamento de algumas informações pessoais é um ponto que deve refletir nas regras internas e ser divulgado aos funcionários.

Os casos de vazamento de informações pessoais que agora se tornam objeto de notificação não se limitam a skimming na web.

Por exemplo, se um operador de dados pessoais enviar a um cliente um envelope de resposta com o endereço alterado, resultando na transferência de informações pessoais preenchidas em um formulário de pesquisa para terceiros, isso se torna um caso em que as obrigações de reportar e notificar vazamentos de informações surgem, considerando que essas informações pessoais estavam previstas para serem tratadas como dados pessoais.

Como o tratamento de algumas informações pessoais que anteriormente não geravam obrigações muda, é necessário alertar os funcionários.

Resumo: Consulte um especialista para se adaptar à revisão da Lei de Proteção de Dados Pessoais

Na revisão da Lei de Proteção de Dados Pessoais no ano de Reiwa 6 (2024), com foco em medidas contra o web skimming, a obrigação de reportar e notificar em caso de vazamentos, bem como o escopo das medidas de segurança, foram expandidos. Antes da revisão, apenas os “dados pessoais” eram considerados, mas agora, em certos casos, a “informação pessoal” também está incluída.

Com esta revisão, torna-se necessário adotar medidas como a revisão da política de privacidade e das regras internas da empresa.

Quando se trata do manuseio de informações pessoais, um erro nas medidas pode levar a um grande risco, como a perda de confiança social. Recomendamos que consulte um advogado ao lidar com estas questões.

Apresentação das Medidas pelo Nosso Escritório

O Monolith Law Office é um escritório de advocacia com vasta experiência em TI, especialmente na Internet e no direito. Nos dias de hoje, a fuga de informações pessoais tornou-se um problema significativo. Caso ocorra uma fuga de informações pessoais, isso pode ter um impacto devastador nas atividades empresariais. Possuímos conhecimento especializado em prevenção de fuga de informações e medidas de resposta. Detalhes podem ser encontrados no artigo abaixo.

Áreas de prática do Monolith Law Office: Lei de Proteção de Informações Pessoais e assuntos legais relacionados[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

O que é o Sistema de Multas sob a 'Lei Japonesa de Indicação de Prémios'? Explicação de Métodos de Enfrentamento com Exemplos Reais

O que é o Sistema de Multas sob a 'Lei Japonesa de Indicação de Prémios'? Explicação de Métodos .

General Corporate

Os pontos importantes da lei nos negócios D2C e quando se deve recorrer a um advogado

Os pontos importantes da lei nos negócios D2C e quando se deve recorrer a um advogado

General Corporate

Cancelamento de pedidos em comércio eletrónico realizados por menores de idade

Cancelamento de pedidos em comércio eletrónico realizados por menores de idade

General Corporate

Quais são os casos em que a contratação de empregados se torna ilegal?

Quais são os casos em que a contratação de empregados se torna ilegal?

General Corporate

O que é uma cláusula de garantia de representação em contratos de investimento

O que é uma cláusula de garantia de representação em contratos de investimento

General Corporate

Expansão do uso de drones com voo de nível 4: Explicação dos dois sistemas de certificação de aeronaves e prova de habilidade

Expansão do uso de drones com voo de nível 4: Explicação dos dois sistemas de certificação de ae.

General Corporate

Procedimentos e pontos de atenção na compra e venda de sites e M&A de sites

Procedimentos e pontos de atenção na compra e venda de sites e M&A de sites

General Corporate

Diferenças na forma de trabalhar com o Japão? Explicação da Lei de Normas Trabalhistas Americana

Diferenças na forma de trabalhar com o Japão? Explicação da Lei de Normas Trabalhistas Americana

General Corporate

Divulgar o endereço de alguém pode constituir um crime? Explicamos também como identificar o autor de uma publicação.

Divulgar o endereço de alguém pode constituir um crime? Explicamos também como identificar o aut.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo