Decifrando a Política de "Revisão Trienal" da Lei de Proteção de Dados Pessoais: Impactos e Pontos de Ação para a Prática Empresarial

No dia 9 de janeiro do ano 8 da era Reiwa (2026), a Comissão de Proteção de Dados Pessoais do Japão divulgou a Política de Revisão do Sistema da Lei de Proteção de Dados Pessoais, revisada a cada três anos. Esta revisão visa promover a utilização de dados na era da IA, enquanto reorganiza as regras e regulamentos de utilização, introduzindo sanções como “multas” para usos inadequados. Inclui também conteúdos que impactam o tratamento de dados pelas empresas.

Este artigo explica os pontos de revisão práticos que as empresas no Japão devem considerar.

Contexto e Necessidades Institucionais da Revisão da Lei de Proteção de Dados Pessoais no Japão

Existem três elementos principais que motivaram a formulação da atual política de revisão.

“Revisão a Cada 3 Anos” como Obrigação Legal

Primeiramente, há uma necessidade institucional. O apêndice da lei revisada de Reiwa 2 (2020) estipulava que, a cada três anos após sua implementação, seria obrigatório considerar as tendências internacionais, o avanço das tecnologias de informação e comunicação, a criação de novas indústrias, entre outros fatores, para revisar a situação da implementação da lei e tomar as medidas necessárias.

A atual política de revisão foi apresentada como conclusão do processo de análise iniciado em novembro de Reiwa 5 (2023), com base nesta regulamentação.

Referência: Comissão de Proteção de Dados Pessoais｜Revisão Trienal da Lei de Proteção de Dados Pessoais

Alinhamento com a Reforma Digital do Governo Japonês

Em segundo lugar, há a necessidade de alinhamento com a estratégia governamental de utilização de dados. Em junho de Reiwa 7 (2025), o governo japonês aprovou em reunião de gabinete a “Política Básica sobre o Uso de Dados”, promovendo a criação de uma legislação transversal para estabelecer um ciclo virtuoso entre dados e IA. Com a rápida disseminação da IA e a complexificação do processamento de dados, tornou-se evidente o desafio de os indivíduos compreenderem o tratamento de seus próprios dados.

Para enfrentar este desafio, é essencial fomentar a confiança que permita aos indivíduos fornecerem seus dados com segurança, promovendo o uso e garantindo a eficácia das regulamentações posteriores de forma integrada.

Resposta às Mudanças no Ambiente Social e Tecnológico no Japão

Em terceiro lugar, há a mudança nos riscos que cercam os direitos e interesses individuais.

Recentemente, o uso de informações biométricas, como dados de características faciais (informações que quantificam a forma e a disposição das partes do rosto, permitindo a identificação individual), tem se expandido, e questões relacionadas ao tratamento de informações pessoais de crianças menores de 16 anos também se tornaram evidentes.

Além disso, casos de uso criminoso de informações pessoais, como fraudes especiais e phishing iniciados por “listas negras”, continuam a ocorrer. Com o aumento dos casos de terceirização do tratamento de dados, também foram apontados riscos decorrentes de falhas de gestão, como o uso de dados além do escopo das atividades contratadas pela empresa terceirizada.

Esses novos riscos, que o atual quadro legal não consegue abordar adequadamente, estão entre os motivos para a revisão.

Os Quatro Pilares da Política de Revisão da Lei de Proteção de Dados Pessoais no Japão

A política de revisão atual é composta por quatro pilares principais. Vamos explicar os detalhes de cada um deles.

Promoção do Uso Adequado de Dados em Japão

Na presente revisão, o uso de dados que tem um impacto relativamente pequeno sobre os direitos e interesses do titular será reavaliado, visando facilitar a utilização dos dados.

Especificamente, quando o uso de dados é garantido de forma a não identificar indivíduos específicos, como na criação de informações estatísticas ou no desenvolvimento de IA, a direção é dispensar o consentimento do titular para o fornecimento de dados pessoais a terceiros, sob certas condições.

Além disso, quando é claro, a partir das circunstâncias de obtenção, que não contraria a vontade do titular (por exemplo, o fornecimento de informações de reservas de hotel ao local de hospedagem ou o compartilhamento de informações em transferências internacionais), está sendo considerada a dispensa do consentimento.

Ademais, no que diz respeito às exceções para a proteção da vida, corpo e propriedade, ou para a melhoria da saúde pública, está sendo reavaliada a flexibilização do requisito atual de “dificuldade em obter consentimento”, e também está sendo considerada uma revisão das exceções relacionadas à pesquisa acadêmica, com o intuito de facilitar a pesquisa clínica por instituições médicas.

Disciplina Adequada ao Risco

A organização da disciplina em resposta às mudanças na forma de tratamento é considerada um ponto importante.

Primeiramente, no que diz respeito à disciplina relacionada a menores de idade, está em consideração a criação de um sistema que exija, em princípio, a participação de um representante legal ao obter informações pessoais de menores de 16 anos. Além disso, está sendo proposta a introdução de uma norma de responsabilidade que considere “o melhor interesse do próprio menor” no tratamento das suas informações pessoais.

Em seguida, no que se refere à disciplina sobre informações biométricas, como dados de características faciais que podem identificar continuamente indivíduos específicos, está sendo considerada a intensificação da divulgação dos propósitos de uso e a ampliação do escopo para solicitações de cessação de uso. Juntamente com isso, a revisão do fornecimento a terceiros através de opt-out também é um ponto em discussão.

Além disso, no que diz respeito à disciplina sobre delegação, está sendo considerada a clarificação das regras para prevenir o uso fora do escopo de trabalho por parte do destinatário da delegação. Por outro lado, quando o processamento é realizado de forma mecânica com base nas instruções do delegante, está sendo indicada uma direção para racionalizar as obrigações.

Adicionalmente, em relação à resposta a incidentes de vazamento, está sendo considerada a revisão do sistema para notificação e relatório ao titular dos dados, de acordo com o grau de risco.

Prevenção de Uso Indevido e Afins no Japão

No que diz respeito à prevenção de uso indevido e afins, as regulamentações serão reforçadas para impedir o uso malicioso em atividades criminosas no Japão.

Informações que permitem o contato com indivíduos específicos, como números de telefone e IDs de Cookie, mesmo que não sejam consideradas informações pessoais, terão seu uso e obtenção proibidos para fins inadequados, como fraudes de phishing. Além disso, ao fornecer essas informações através do sistema de opt-out, será obrigatória a verificação da identidade do destinatário e do propósito de uso, a fim de suprimir a circulação ilegal de listas de contatos.

Garantia da Eficácia na Conformidade com as Normas

A garantia da eficácia na conformidade com as normas é a maior preocupação na presente revisão sob a legislação japonesa. Os requisitos serão revistos para permitir ordens corretivas rápidas, e será criada uma base legal para solicitar medidas a terceiros que auxiliem em atos de violação, como os prestadores de serviços de hospedagem.

Além disso, será introduzido um sistema que ordena o pagamento de multas equivalentes ao valor dos benefícios econômicos obtidos por empresas que recolhem grandes quantidades de informações pessoais e as utilizam ou fornecem de forma maliciosa. Este sistema será aplicado, em princípio, a casos de grande escala em que o número de indivíduos afetados exceda 1.000, o que aumentará significativamente o risco de conformidade para as empresas no Japão.

Medidas Necessárias para Empresas Face à Revisão da Lei de Proteção de Dados Pessoais no Japão

O conteúdo da revisão é extenso, e as empresas no Japão serão obrigadas a reavaliar fundamentalmente seus sistemas de conformidade e jurídicos. Vamos organizar as medidas específicas que são necessárias.

Reconstrução da Gestão de Terceiros e Revisão de Contratos

Com esta revisão, obrigações legais diretas também serão impostas aos terceiros. As empresas devem, primeiramente, verificar se os terceiros não estão utilizando dados além do escopo de suas funções, especialmente quando a empresa é a contratante. Em particular, quando o desenvolvimento de IA ou a análise de dados são terceirizados, há um risco explícito de proibição do uso de dados para aprendizado próprio dos terceiros sob a nova lei.

Por outro lado, em casos onde apenas “processamento mecânico” como entrada de dados é terceirizado, é necessário preparar revisões contratuais para se adaptar ao novo sistema, incluindo acordos sobre todos os métodos de tratamento e medidas de monitoramento para obter isenções de obrigações.

Estabelecimento de Regras Especiais para Menores e Dados Biométricos

Empresas que oferecem serviços para menores de 16 anos devem implementar urgentemente um fluxo de verificação de idade e um fluxo de trabalho para obter o consentimento do representante legal. Além disso, devido à responsabilidade de considerar “o melhor interesse do menor”, será necessário incluir explicações claras para menores na política de privacidade.

Além disso, empresas que utilizam sistemas de reconhecimento facial devem preparar-se para a obrigatoriedade legal de divulgar informações como o nome do coletor, o propósito específico de uso e o conteúdo das características físicas, revisando as informações em quadros de avisos e sites.

Uso de Estatísticas como “Governança Proativa”

Por outro lado, a revisão também promove o uso de dados. Está sendo considerada uma exceção que dispensa o consentimento do titular para a criação de estatísticas, o que pode ampliar o uso de análises de dados avançadas e desenvolvimento de IA sob certas condições.

Para as empresas, é crucial estabelecer regras internas para utilizar adequadamente esta exceção (proibição de uso fora do propósito, restrições à oferta a terceiros, procedimentos de divulgação adequados) e criar uma base legal para a inovação.

Gestão de Risco de Penalidades e Multas

Um ponto central da revisão é o fortalecimento do sistema de multas e penalidades. Em caso de vazamentos em grande escala ou uso inadequado, além de ordens administrativas, pode ser exigido o pagamento de multas equivalentes aos lucros indevidamente obtidos.

Além disso, está em discussão o fortalecimento das penalidades para corporações, tornando essencial a construção de um sistema de conformidade para eliminar a aquisição de dados de fornecedores de listas inadequados e o uso de dados que possam levar a utilizações fraudulentas.

Resumo: Consulte um Especialista Sobre a Política de Revisão da Lei de Proteção de Dados Pessoais no Japão

A política de revisão da Lei de Proteção de Dados Pessoais no Japão não é apenas uma mudança menor, mas sim uma medida altamente eficaz para responder à chegada da era da IA e ao agravamento dos crimes de dados.

O projeto de lei revisado está previsto para ser apresentado na sessão ordinária da Dieta em 2026 (Reiwa 8), e, caso seja aprovado, espera-se que entre em vigor por volta de 2027 a 2028 (Reiwa 9 a 10). Agora que a política de revisão foi divulgada, é importante reavaliar a governança de dados da sua empresa desde já, sem esperar pela legislação. Em particular, a introdução do sistema de multas e a regulamentação rigorosa sobre dados de menores e dados biométricos são questões diretamente ligadas à gestão. Recomenda-se acompanhar de perto as tendências da legislação futura e, em colaboração com os departamentos internos relevantes, avançar com preparações sólidas.

Orientações sobre as Medidas do Nosso Escritório

O Escritório de Advocacia Monolith é uma firma que possui alta especialização tanto em TI quanto em direito, especialmente no que diz respeito à Internet. Nos últimos anos, a governança relacionada à Lei de Proteção de Informações Pessoais no Japão tem recebido atenção significativa. Nosso escritório oferece soluções para questões trabalhistas sob práticas de emprego japonesas. Detalhes adicionais estão descritos no artigo abaixo.