O que fazer se ocorrer uma fuga de informações pessoais? Explicação das medidas administrativas que as empresas devem tomar
Com o desenvolvimento da internet e a capacidade de trocar informações online, tem havido um aumento nos casos em que informações importantes das empresas são inadvertidamente divulgadas.
Em anos recentes, o valor da informação tem aumentado, e há casos em que um único vazamento de informação pode resultar em um grande problema de perda de credibilidade. Como empresa, é exigido que se tome uma ação apropriada rapidamente no caso de um vazamento de informação.
Aqui, explicaremos em detalhe sobre as ações que uma empresa deve tomar no caso de um vazamento de informação, com foco na resposta administrativa.
Também é necessária uma resposta administrativa em caso de vazamento de informações
Quando falamos de vazamento de informações, o conteúdo e a importância das informações variam. A necessidade de uma resposta administrativa ocorre quando há um vazamento de informações pessoais.
A definição de informações pessoais é estabelecida no Artigo 2, Parágrafo 1, da Lei Japonesa de Proteção de Informações Pessoais (doravante denominada “Lei de Proteção de Informações Pessoais”).
(Definição)
e-GOV|Lei Japonesa de Proteção de Informações Pessoais[ja]
Artigo 2º Na presente lei, “informações pessoais” refere-se a informações sobre um indivíduo vivo que se enquadra em qualquer dos seguintes itens:
1. Informações que podem identificar um indivíduo específico através de nomes, datas de nascimento e outras descrições contidas nas informações (incluindo todas as questões expressas por escrito, desenhos ou registros eletromagnéticos (registros feitos por meios eletromagnéticos (meios eletrônicos, meios magnéticos e outros meios que não podem ser reconhecidos pela percepção humana. O mesmo se aplica ao item 2 do parágrafo seguinte.) (o mesmo se aplica abaixo.)) ou registradas, ou expressas por voz, movimento ou outros métodos (excluindo códigos de identificação pessoal. O mesmo se aplica abaixo.)) (incluindo aqueles que podem ser facilmente comparados com outras informações e, portanto, podem identificar um indivíduo específico.)
2. Aqueles que contêm um código de identificação pessoal
As informações que se enquadram na definição acima são protegidas como informações pessoais pela Lei de Proteção de Informações Pessoais.
Artigo relacionado: O que é a Lei de Proteção de Informações Pessoais e informações pessoais? Explicação de um advogado[ja]
Além disso, as ações que uma empresa deve tomar quando ocorre um vazamento de informações incluem, além da resposta administrativa, a divulgação de informações, quando necessário. Por favor, consulte o artigo abaixo para mais informações.
Artigo relacionado: O que é a divulgação de informações que uma empresa deve fazer quando ocorre um vazamento de informações[ja]
Obrigação de reportar a violação de informações pessoais
Os operadores de informações pessoais têm a obrigação de reportar à Comissão de Proteção de Informações Pessoais (Comissão Japonesa de Proteção de Informações Pessoais) quando ocorre uma situação de vazamento de informações pessoais ou quando há uma possibilidade de tal vazamento.
Antes de 1 de abril de 2022 (4º ano da era Reiwa), a obrigação de reportar à Comissão de Proteção de Informações Pessoais quando ocorria uma situação de vazamento ou uma possibilidade de vazamento não era obrigatória, mas era esperado que fosse feito. Com a revisão da Lei de Proteção de Informações Pessoais (Lei Japonesa de Proteção de Informações Pessoais), a partir de 1 de abril de 2022, tornou-se obrigatório reportar à Comissão de Proteção de Informações Pessoais.
O termo “operadores de informações pessoais” refere-se àqueles que usam bancos de dados de informações pessoais, etc., para fins comerciais (Artigo 16, parágrafo 2, da Lei de Proteção de Informações Pessoais). No entanto, instituições governamentais, entidades públicas locais, corporações administrativas independentes, etc., não estão incluídas nos operadores de informações pessoais.
“Bancos de dados de informações pessoais, etc.” refere-se a um conjunto de informações que inclui informações pessoais e que cumpre um dos dois requisitos a seguir, excluindo aqueles que são definidos por decreto como tendo pouco risco de prejudicar os direitos e interesses individuais com base na forma como são usados (Artigo 16, parágrafo 1, da Lei de Proteção de Informações Pessoais).
- Algo que foi sistematicamente organizado para que informações pessoais específicas possam ser pesquisadas usando um computador
- Algo que foi sistematicamente organizado para que informações pessoais específicas possam ser facilmente pesquisadas
Os operadores de informações pessoais que usam bancos de dados de informações pessoais, etc., para fins comerciais têm a obrigação de reportar à Comissão de Proteção de Informações Pessoais.
Artigo relacionado: Explicação sobre os pontos a ter em conta em relação às “responsabilidades do operador” na Lei de Proteção de Informações Pessoais revisada em 2022[ja]
Quatro casos que requerem relatório à Comissão de Proteção de Dados Pessoais
Existem quatro casos em que é necessário reportar à Comissão de Proteção de Dados Pessoais quando ocorre uma fuga de dados pessoais, conforme estabelecido no Artigo 7º do Regulamento de Execução da Lei de Proteção de Dados Pessoais (Lei Japonesa de Proteção de Dados Pessoais).
- Quando ocorre, ou há risco de ocorrer, uma fuga de dados pessoais que inclui informações pessoais que requerem cuidado especial
- Quando ocorre, ou há risco de ocorrer, uma fuga de dados pessoais que, se utilizados indevidamente, podem causar danos patrimoniais
- Quando ocorre, ou há risco de ocorrer, uma fuga de dados pessoais que pode ter sido feita com intenções maliciosas
- Quando ocorre, ou há risco de ocorrer, uma fuga de dados pessoais que afeta mais de 1.000 indivíduos
Explicaremos cada um destes casos em detalhe abaixo.
Fuga de informações pessoais que requerem cuidado especial
“Informações pessoais que requerem cuidado especial” referem-se a informações pessoais que são definidas por decreto governamental como necessitando de cuidado especial no seu manuseio para evitar discriminação injusta, preconceito ou outros danos contra o indivíduo. Estas informações incluem raça, crenças, status social, histórico médico, histórico criminal e vítimas de crimes.
Por exemplo, informações sobre o histórico médico de um funcionário, como os resultados de um exame de saúde, são consideradas informações pessoais que requerem cuidado especial.
Fuga de informações pessoais que podem causar danos patrimoniais
Este caso refere-se a situações em que dados pessoais que, se utilizados indevidamente, podem causar danos patrimoniais, são divulgados.
Um exemplo concreto seria uma empresa que permite a fuga de informações de cartão de crédito de um cliente.
Fuga de informações pessoais feita com intenções maliciosas
Este caso aplica-se quando a entidade que causou a fuga de dados pessoais tinha intenções maliciosas.
Por exemplo, se um terceiro ou um funcionário de uma empresa acessa indevidamente a rede da empresa com a intenção de usar indevidamente as informações pessoais e causa uma fuga de dados pessoais.
Fuga de informações pessoais em larga escala
Este caso aplica-se quando ocorre uma fuga de dados pessoais que afeta mais de 1.000 indivíduos.
As empresas que lidam com grandes volumes de dados pessoais devem estar atentas ao risco de uma fuga de dados pessoais em larga escala.
Informações a serem reportadas à Comissão de Proteção de Dados Pessoais em caso de vazamento de informações
Em caso de situações que requerem um relatório à Comissão de Proteção de Dados Pessoais, é necessário reportar os itens estipulados no Artigo 8, Parágrafo 1, do Regulamento de Execução da Lei de Proteção de Dados Pessoais (Lei Japonesa de Proteção de Dados Pessoais).
(Relatório à Comissão de Proteção de Dados Pessoais)
e-GOV|Lei Japonesa de Proteção de Dados Pessoais[ja]
Artigo 8º Os operadores de negócios de tratamento de dados pessoais devem, após tomar conhecimento das situações estipuladas no artigo anterior, reportar prontamente à Comissão os seguintes itens relacionados à situação em questão (limitado ao que é conhecido no momento da intenção de reportar. O mesmo se aplica ao próximo artigo).
Se qualquer um dos quatro casos que requerem o relatório acima se aplicar, o operador de negócios deve prontamente reportar os seguintes itens à Comissão de Proteção de Dados Pessoais:
- Resumo
- Itens de dados pessoais que foram ou podem ter sido vazados
- Número de indivíduos relacionados aos dados pessoais que foram ou podem ter sido vazados
- Causa
- Existência e conteúdo de danos secundários ou possibilidade de ocorrência
- Status da resposta ao indivíduo
- Status da divulgação
- Medidas para prevenir a recorrência
- Outras questões de referência
No entanto, apenas os itens que são conhecidos no momento do relatório precisam ser reportados.
Prazo para reportar à Comissão de Proteção de Dados Pessoais em caso de vazamento de informações
Existe um prazo estabelecido para a notificação à Comissão de Proteção de Dados Pessoais (Artigo 8, Parágrafo 2, do Regulamento de Execução da Lei Japonesa de Proteção de Dados Pessoais).
Em princípio, a notificação à Comissão de Proteção de Dados Pessoais deve ser feita dentro de 30 dias a partir do dia em que o vazamento ou situação semelhante foi descoberto. Se a entidade que causou o vazamento de dados pessoais tiver uma intenção maliciosa, a notificação deve ser feita dentro de 60 dias.
Obrigação de Notificar o Indivíduo
No caso de uma violação de dados pessoais, além da obrigação de reportar à Comissão de Proteção de Dados Pessoais, também é estipulada a obrigação de notificar o indivíduo (Artigo 26, Parágrafo 2, da Lei Japonesa de Proteção de Dados Pessoais).
A notificação ao indivíduo tem como objetivo permitir que o mesmo tome medidas em relação à violação de dados pessoais o mais rápido possível, prevenindo assim a violação dos seus direitos e interesses. Portanto, é exigido que os operadores de negócios de tratamento de dados pessoais notifiquem o indivíduo prontamente.
Resumo: Consulte um advogado para lidar com a resposta administrativa a violações de dados pessoais
Acima, explicamos principalmente a resposta administrativa que uma empresa deve tomar se ocorrer uma violação de dados pessoais.
Como empresa, é claro que é importante estabelecer sistemas para prevenir violações de dados, mas se uma violação de dados ocorrer, é necessário responder adequadamente.
A Lei Japonesa de Proteção de Dados Pessoais é uma lei que tem muitas emendas e algumas partes têm uma estrutura complexa. Para responder adequadamente, recomendamos que consulte um advogado com conhecimento especializado.
Apresentação das medidas adotadas pelo nosso escritório
O escritório de advocacia Monolith é especializado em IT, particularmente na intersecção entre a Internet e a lei. Atualmente, a fuga de informações pessoais tornou-se um grande problema. Se, por acaso, ocorrer uma fuga de informações pessoais, isso pode ter um impacto fatal nas atividades empresariais. A nossa empresa possui conhecimento especializado em prevenção de fuga de informações e medidas de resposta. Os detalhes estão dehttps://monolith.law/practices/itlawscritos no artigo abaixo.
Related Articles
O que é o tempo médio necessário para os serviços jurídicos de advogados com cobrança por hora, .
General Corporate
Pontos essenciais a verificar para evitar problemas no Contrato Básico de Transações Publicitári.
General Corporate
O que é a Lei de Dispositivos Médicos (antiga Lei de Assuntos Farmacêuticos) Japonesa? Explicaçã.
General Corporate
A 'Lei de Limitação de Responsabilidade dos Provedores' torna-se 'Lei de Medidas para Plataforma.
General Corporate
É permitido não pagar a totalidade da indemnização por despedimento disciplinar? Comentário sobr.
General Corporate
