O que é a 'Lei Japonesa de Proteção de Informações Pessoais' e Informações Pessoais? Um advogado explica
A lei de proteção de dados pessoais, que foi alterada em 2015 (em vigor desde 2017), é uma legislação importante quando se considera questões de dados pessoais nas atividades empresariais, e serve para esclarecer as obrigações legais dos operadores de dados pessoais. Até 2015 (ano 27 da era Heisei), os operadores de dados pessoais eram limitados àqueles que possuíam informações pessoais de mais de 5000 pessoas, por isso havia muitas empresas, como as de pequena escala, que não eram operadores de dados pessoais. No entanto, após a revisão de 2015, esta condição foi eliminada, tornando praticamente todas as empresas operadoras de dados pessoais, tornando-se uma lei incontornável para os proprietários de pequenas empresas. Para atividades como vendas por correspondência, newsletters, emissão de DM e cartões de pontos para lojas físicas, é necessário lidar com informações pessoais, como o nome e o endereço de e-mail do cliente, por isso é necessário entender os fundamentos da Lei de Proteção de Dados Pessoais.
Objetivo e Definição da Lei Japonesa de Proteção de Dados Pessoais
Qual é exatamente a Lei Japonesa de Proteção de Dados Pessoais? Vamos dar uma olhada no resumo. Primeiro, o Artigo 1º esclarece o objetivo desta lei.
Artigo 1 da Lei Japonesa de Proteção de Dados Pessoais
Esta lei tem como objetivo, considerando a expansão significativa do uso de informações pessoais com o progresso da sociedade de comunicação de informação avançada, estabelecer os princípios básicos e as políticas básicas do governo e outras medidas básicas para a proteção de informações pessoais, esclarecer as responsabilidades do governo e das entidades públicas locais, e estabelecer as obrigações que os operadores que lidam com informações pessoais devem cumprir, de modo a contribuir para a realização de uma sociedade econômica vibrante e uma vida nacional rica através do uso adequado e eficaz de informações pessoais, enquanto se considera a utilidade de informações pessoais e se protege os direitos e interesses dos indivíduos.
Está escrito.
No Artigo 2, as informações pessoais, os dados pessoais e os dados pessoais retidos são definidos (Artigo 2, parágrafos 1, 4 e 5).
Na Lei Japonesa de Proteção de Dados Pessoais, “informações pessoais” são “informações sobre um indivíduo vivo” que “pode identificar um indivíduo específico” por “nome, data de nascimento e outras descrições contidas nas informações” (incluindo aquelas que podem ser facilmente comparadas com outras informações e, assim, podem identificar um indivíduo específico). “Dados pessoais” são informações pessoais que foram digitalizadas por um computador, e aqueles que o operador tem retido por mais de seis meses são “dados pessoais retidos”.
A necessidade de proteção das informações pessoais varia muito dependendo de estarem ou não digitalizadas. Os dados pessoais são informações pessoais que foram digitalizadas e sistematicamente organizadas para facilitar a pesquisa, etc., e a possibilidade de violação de direitos é alta, portanto, são concedidas proteções mais fortes do que as informações pessoais em geral.
Ainda mais protegidos são os dados pessoais retidos, que são dados pessoais que o operador de tratamento de dados pessoais tem o direito de divulgar, corrigir, adicionar ou excluir, parar de usar, apagar e parar de fornecer a terceiros (Artigo 2, parágrafo 7), e para os dados pessoais retidos, são permitidos pedidos de divulgação, correção, parada de uso, etc., levando em consideração a demanda de que o indivíduo possa se envolver adequadamente com suas próprias informações (descrito posteriormente).
Regras sobre o tratamento de informações pessoais
Para evitar o uso indevido de informações pessoais, é necessário estabelecer regras para o seu tratamento adequado. Isto implica identificar claramente o propósito do uso das informações pessoais e limitar o seu tratamento ao escopo necessário para atingir esse propósito.
Assim, os operadores de negócios que lidam com informações pessoais devem:
- Identificar o propósito do uso das informações pessoais o máximo possível ao lidar com elas (Artigo 15, parágrafo 1 da Lei Japonesa de Proteção de Informações Pessoais)
- Não tratar informações pessoais além do escopo necessário para atingir o propósito do uso (Artigo 16, parágrafo 1)
- Não adquirir informações pessoais por meios falsos ou outros meios desonestos (Artigo 17, parágrafo 1)
- Se adquirir informações pessoais, deve notificar ou publicar o propósito do uso para a pessoa em questão (Artigo 18)
A Lei Japonesa de Proteção de Informações Pessoais exige que as informações pessoais detidas por um operador de negócios sejam usadas de acordo com o propósito especificado e publicado antecipadamente. Em outras palavras, é necessário “especificar e publicar o propósito, mesmo que as informações pessoais possam ser usadas de qualquer maneira”. Por exemplo, não é ilegal “usar informações pessoais para exibir anúncios de acordo com as características do usuário”, mas é necessário publicar o propósito do uso com antecedência. Não há especificação sobre como publicar, mas geralmente é feito na forma de uma “Política de Privacidade” ou “Política de Proteção de Informações Pessoais”.
Por outro lado, a aquisição de informações pessoais sensíveis, que são consideradas informações pessoais que requerem cuidado especial, é proibida sem o consentimento do indivíduo, a menos que haja uma razão específica (Artigo 17, parágrafo 2).
Informações pessoais que requerem cuidado especial são definidas como:
Artigo 2, parágrafo 3
Na presente lei, “informações pessoais que requerem cuidado especial” referem-se a informações pessoais que incluem descrições determinadas por decreto que requerem cuidado especial no seu tratamento para evitar discriminação injusta, preconceito ou outros prejuízos contra o indivíduo, tais como raça, crença, status social, histórico médico, histórico criminal, e o fato de ter sido vítima de um crime.
Isso também inclui resultados de exames de saúde e deficiência, orientação e tratamento por médicos, procedimentos criminais e procedimentos relacionados a casos de proteção juvenil.
A razão para a rigorosa regulamentação que proíbe até mesmo a “aquisição” de informações pessoais que requerem cuidado especial sem o consentimento do indivíduo, a menos que haja uma razão específica, é que essas informações, mesmo que não se pense que há necessidade de adquiri-las, podem ser adquiridas e tratadas, e podem gerar discriminação e preconceito.
Regras de Gestão e Supervisão
É necessário realizar uma supervisão necessária e adequada aos funcionários para garantir a segurança dos dados pessoais.
Muitas pessoas estão preocupadas e ansiosas com a possibilidade de vazamento ou alteração de informações pessoais. No caso de dados pessoais armazenados em bases de dados, há ainda mais preocupação, pois ocorreram muitos casos que causaram problemas sociais, como o vazamento em massa de informações de clientes. Portanto, os operadores de negócios de informações pessoais têm a obrigação de tomar medidas necessárias e adequadas (medidas de segurança) para a gestão segura dos dados pessoais (Artigo 20 da Lei Japonesa de Proteção de Dados Pessoais).
Violação do Dever de Segurança
Na verdade, em casos onde informações pessoais foram vazadas ou divulgadas na internet, muitas vezes é reconhecida uma violação do dever de segurança. Mesmo para pequenas e médias empresas, o conteúdo das medidas de segurança, levando em consideração suas características, está claramente indicado nas “Diretrizes sobre a Lei Japonesa de Proteção de Dados Pessoais (Edição Geral)” (Comissão de Proteção de Dados Pessoais). Portanto, é importante seguir estas diretrizes não apenas para cumprir o Artigo 20 da Lei Japonesa de Proteção de Dados Pessoais, mas também para evitar ser responsabilizado por atos ilícitos devido a violações de privacidade causadas por vazamentos, incluindo na internet.
No entanto, não importa quão bem o sistema ou o sistema esteja estabelecido, a operação adequada acaba sendo deixada para as pessoas. Portanto, “os operadores de negócios de informações pessoais devem, ao permitir que seus funcionários lidem com dados pessoais, realizar uma supervisão necessária e adequada dos funcionários para garantir a segurança dos dados pessoais” (Artigo 21 da Lei Japonesa de Proteção de Dados Pessoais).
Além disso, a venda ou remoção de dados de clientes por funcionários não só faz com que o próprio funcionário seja responsável por atos ilícitos (Artigo 709 do Código Civil Japonês), mas também pode fazer com que o próprio operador de negócios de informações pessoais seja responsável como empregador (Artigo 715 do Código Civil Japonês), então cuidado é necessário.
“Fornecimento a Terceiros” e “Subcontratação”
Na Lei Japonesa de Proteção de Dados Pessoais, mesmo que seja para o propósito anunciado com antecedência, é proibido fornecer informações pessoais de clientes a “terceiros” sem o seu consentimento. No entanto, se seguirmos esta regra ao pé da letra, “colocar um banco de dados de clientes em um servidor alugado também seria ilegal”. Isso porque o servidor alugado é um “terceiro” para o operador do negócio.
No entanto, “subcontratação” é permitida como uma exceção ao “fornecimento a terceiros”, e é permitido subcontratar a pessoas que não usam as informações. Por exemplo, um servidor alugado simplesmente armazena as informações e não as usa. Embora seja comum subcontratar o manuseio de informações pessoais a terceiros, para evitar situações em que o manuseio inadequado pelo contratado ou a repetição de subcontratação torna a responsabilidade obscura, “os operadores de negócios de informações pessoais devem, ao subcontratar todo ou parte do manuseio de dados pessoais, realizar uma supervisão necessária e adequada do contratado para garantir a segurança dos dados pessoais” (Artigo 22 da Lei Japonesa de Proteção de Dados Pessoais).
Regularização do tratamento de informações pessoais através da participação do próprio indivíduo
A Lei Japonesa de Proteção de Informações Pessoais é uma das leis mais importantes a considerar quando se trata de questões de informações pessoais e privacidade.
A Lei Japonesa de Proteção de Informações Pessoais permite que o próprio indivíduo, sob certas condições, solicite ao operador de negócios de tratamento de informações pessoais a divulgação (Artigo 28), correção, adição, exclusão (Artigo 29), e suspensão do uso (Artigo 30) dos dados pessoais que este detém sobre ele. Estas participações do próprio indivíduo são claramente estabelecidas como direitos de reivindicação sob a lei civil, e se o operador de negócios de tratamento de informações pessoais não atender a estas solicitações, o indivíduo pode fazer valer os seus direitos através de um processo judicial.
Os operadores de negócios de tratamento de informações pessoais devem, a pedido do próprio indivíduo, divulgar os dados pessoais que detêm, e se houver erros no conteúdo, devem atender aos pedidos de correção, etc. Além disso, se o tratamento das informações violar obrigações legais, como o uso para fins não previstos, métodos de obtenção inadequados, ou fornecimento a terceiros sem o consentimento do indivíduo, o uso das informações deve ser suspenso. Como mencionado acima, a Lei Japonesa de Proteção de Informações Pessoais é uma lei que visa proteger os direitos dos cidadãos, impondo várias obrigações aos operadores de negócios que tratam de informações pessoais.
Sanções por vazamento de informações pessoais
A Lei Japonesa de Proteção de Informações Pessoais (Lei Japonesa de Proteção de Dados Pessoais) estabelece sanções para os casos em que uma empresa vaza informações pessoais.
Se uma empresa violar a Lei Japonesa de Proteção de Informações Pessoais e vazar informações, primeiro será recomendado pelo governo que “tome as medidas necessárias para corrigir a violação e parar o comportamento ilegal” (Artigo 42). Se esta recomendação também for violada, o empregado que cometeu a violação pode ser “condenado a uma pena de prisão de até 6 meses ou a uma multa de até 300.000 ienes” (Artigo 84), e a empresa que emprega esse funcionário também pode ser “multada em até 300.000 ienes” (Artigo 85). Além disso, se as informações forem fornecidas ou roubadas com o objetivo de obter lucros ilegais, a pena pode ser “prisão de até 1 ano ou multa de até 500.000 ienes” (Artigo 83), mesmo sem uma recomendação.
Resumo
A Lei Japonesa de Proteção de Dados Pessoais é uma lei que exige que as empresas que lidam com informações pessoais tratem essas informações de maneira adequada e tomem medidas necessárias e apropriadas para a sua gestão segura. Esta é uma lei importante e incontornável para praticamente todas as empresas.
Related Articles
Explicação detalhada sobre por que o 'Kompu Gacha' é ilegal e a sua relação com a 'Lei Japonesa .
General Corporate
O que é Scraping? Explicando os desafios legais do método de coleta de dados útil que está a gan.
General Corporate
Redução do Ônus da Prova de Danos por Pirataria com a Revisão da Lei de Direitos Autorais Japone.
General Corporate
O negócio de rede é ilegal? Explicação dos problemas legais do 'Comércio Multi-Nível' e 'Esquema.
General Corporate
Qual é a relação entre a taxa de participação acionária e os direitos dos acionistas?
General Corporate
Qual é o segredo do sucesso na aquisição de empresas, aprendido com os casos de falha de M&A.
General Corporate
Quais são as regras de trabalho da empresa que devem ser revistas ao permitir um sistema de trab.
General Corporate
