Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Risco de vazamento de informações pessoais em empresas e indenização por danos

Risco de vazamento de informações pessoais em empresas e indenização por danos

General Corporate

Risco de vazamento de informações pessoais em empresas e indenização por danos

Os riscos que cercam a gestão empresarial incluem crises de gestão, acidentes devido à violação do dever de cuidado de segurança por parte da empresa, entre outros. No entanto, nos últimos anos, a fuga de informações pessoais e o risco de indemnizações por danos resultantes tornaram-se um grande problema.

A Tokyo Shoko Research informou que, em 2019, 66 empresas listadas e suas subsidiárias anunciaram acidentes de perda e vazamento de informações pessoais. O número de acidentes foi de 86, e as informações pessoais vazadas chegaram a 9.031.734 indivíduos. Se incluirmos empresas não listadas, empresas estrangeiras, agências governamentais, autarquias locais, escolas, etc., o número pode aumentar astronomicamente.

Tendências de incidentes de vazamento e perda de informações pessoais no ano de 2019

Entre os acidentes de perda e vazamento de informações pessoais, o maior até agora ainda é o vazamento de informações pessoais de 35.040.000 pessoas devido à aquisição ilegal de informações de clientes por um funcionário contratado pela Benesse Holdings (Benesse Corporation) em julho de 2014. No entanto, em 2019, houve novos desenvolvimentos em alguns dos processos judiciais relacionados a este incidente.
Enquanto organizamos o problema da Benesse, vamos considerar o risco de vazamento de informações pessoais e indemnizações por danos para as empresas.

O que é o caso de vazamento de informações pessoais da Benesse

Risco de vazamento de informações pessoais e danos compensatórios das empresas
O caso de vazamento de informações pessoais da Benesse, que ocorreu por volta de junho de 2014, é um incidente ainda fresco na memória.

Por volta de junho de 2014, os clientes da Benesse começaram a receber correspondências diretas da empresa de educação à distância “Just Systems”, o que levou a um aumento nas consultas sobre se estavam usando informações pessoais registradas apenas na Benesse, ou se as informações pessoais estavam vazando da Benesse.

No dia 27 de junho, a Benesse iniciou uma investigação interna e, no dia 30 do mesmo mês, relatou à polícia e ao Ministério da Economia, Comércio e Indústria. Em 9 de julho, realizou uma coletiva de imprensa anunciando que as informações pessoais, como nomes de crianças e pais, endereços, números de telefone, sexo e datas de nascimento, dos alunos do curso preparatório Shinken Zemi, entre outros, haviam vazado.

Em 17 de julho, um engenheiro de sistemas de 39 anos, que estava encarregado da gestão do sistema de base de dados da empresa Synform, que havia sido subcontratada para gerir as informações dos clientes de uma empresa associada à Benesse, foi preso por ter retirado informações pessoais e vendido-as a uma empresa de listas de nomes.

Em setembro, a Benesse realizou uma coletiva de imprensa e anunciou que o número de casos de vazamento de informações de clientes era de 35,04 milhões. Já havia preparado um fundo de 20 bilhões de ienes para compensar as vítimas do vazamento de informações pessoais, mas decidiu enviar uma carta de desculpas aos clientes cujo vazamento foi confirmado e, de acordo com a escolha dos clientes, enviar um vale-presente de 500 ienes (um vale-presente de dinheiro eletrônico ou um cartão de livros de uso nacional) ou doar 500 ienes por caso de vazamento para a Fundação Benesse Children, estabelecida para apoiar as crianças afetadas pelo vazamento.

Em resposta a isso, algumas das vítimas formaram vários grupos de advogados e iniciaram ações coletivas. Em 2019, houve alguns desenvolvimentos relacionados a isso. No que diz respeito ao caso criminal, no julgamento criminal do engenheiro de sistemas acusado de violação da Lei de Prevenção da Concorrência Desleal (reprodução e divulgação de segredos comerciais) por retirar informações pessoais, a sentença final foi de 2 anos e meio de prisão e uma multa de 3 milhões de ienes sem suspensão de execução, de acordo com a decisão do Tribunal Superior de Tóquio em 21 de março de 2017.

Decisão do Supremo Tribunal e Apelação Remetida

Risco de vazamento de informações pessoais e indenização por danos em empresas
Há casos em que foi ordenado o pagamento de indenização, considerando que o endereço, nome e número de telefone do apelante foram divulgados em páginas da web, entre outros.

Num processo em que um homem exigiu à Benesse uma compensação pessoal de 100.000 ienes por ter sofrido angústia mental devido ao vazamento de seu nome, endereço, número de telefone, etc., e do seu filho, o Supremo Tribunal anulou a decisão do Tribunal Superior de Osaka, que era o tribunal de primeira instância, e remeteu o caso, alegando que o julgamento não tinha sido completo.

O Tribunal Distrital de Kobe, Himeji Branch, que era o tribunal de primeira instância antes da remessa, reconheceu em 2 de dezembro de 2015 que o nome do homem gerido pela Benesse tinha vazado, um fato incontestável, mas rejeitou o pedido do homem, alegando que não havia alegações ou provas de circunstâncias concretas suficientes para fundamentar que isso se devia à negligência da Benesse.

Em resposta a isto, o tribunal de apelação (decisão do Tribunal Superior de Osaka de 29 de junho de 2016) ao qual o homem apelou, reconheceu que o nome, sexo, data de nascimento, código postal, endereço, número de telefone e nome do guardião (nome do apelante) do filho do apelante, gerido pelo apelado, tinham vazado, e com base nisto, concluiu que o nome, código postal, endereço, número de telefone do apelante e o nome, sexo e data de nascimento da sua família, que são informações pessoais do apelante, tinham vazado. No entanto, enquanto reconhecia que o vazamento das informações pessoais do apelante poderia causar desconforto e ansiedade à luz do senso comum de uma pessoa normal, rejeitou a apelação com base na ausência de alegações ou provas de danos que ultrapassassem tal desconforto, etc., alegando que tal desconforto, etc., por si só, não poderia ser considerado um interesse violado e, portanto, não poderia ser imediatamente solicitada uma indenização por danos.

Decisão do Supremo Tribunal

Quando o apelante solicitou a aceitação da apelação contra isto, o Supremo Tribunal aceitou-a e, embora se possa dizer que a privacidade do apelante foi violada pelo vazamento em questão, o Tribunal Superior de Osaka rejeitou o pedido do apelante imediatamente apenas com base no fato de que não havia alegações ou provas de danos que ultrapassassem o desconforto, etc., sem julgar adequadamente a existência e o grau de danos mentais do apelante causados pela violação da privacidade. O Supremo Tribunal anulou a decisão original, alegando que tal julgamento do tribunal de primeira instância era ilegal por não ter esgotado o julgamento sobre o ponto acima, devido a um erro na interpretação e aplicação das leis e regulamentos relativos aos danos em atos ilícitos, e remeteu o caso ao Tribunal Superior para um julgamento adicional sobre a existência de negligência por parte do apelado e a existência e o grau de danos mentais do apelante (decisão do Supremo Tribunal de 23 de outubro de 2017).

https://monolith.law/reputation/privacy-invasion[ja]

Decisão da Apelação Remetida

Na apelação remetida, o Tribunal Superior de Osaka (decisão de 20 de novembro de 2019) reconheceu que o empregado em questão vendeu informações pessoais a um comerciante de listas, obtendo-as ilegalmente através de um método de transferência de dados por comunicação MTP, conectando um smartphone compatível com MTP a um computador de trabalho através de um cabo USB conectado a uma porta USB. No entanto, a empresa Synform deveria ter tomado medidas adequadas para evitar que os smartphones compatíveis com MTP fossem trazidos para o escritório e tivessem acesso às informações pessoais em questão, mas falhou em fazê-lo, e a Benesse, ao violar o dever de supervisão adequada sobre a Synform, que permitiu o uso das informações pessoais em questão, causou o vazamento pelo empregado, e por isso é responsável pelos danos causados por este ato ilícito (Artigo 719, parágrafo 1, primeira parte, do Código Civil Japonês).

Em seguida, violando o artigo 22 da Lei Japonesa de Proteção de Informações Pessoais, que estipula que “quando um operador de negócios de tratamento de informações pessoais confia a totalidade ou parte do tratamento de dados pessoais a outra pessoa, deve supervisionar adequadamente a pessoa confiada para garantir a segurança dos dados pessoais confiados”, reconheceu a violação da privacidade e, considerando que o endereço, nome e número de telefone do apelante foram divulgados em páginas da web, entre outros, ordenou o pagamento de 1.000 ienes como indenização por danos.

Este é o terceiro caso em que a responsabilidade da Benesse foi reconhecida. No início deste artigo, escrevi que “em 2019, houve alguns desenvolvimentos novos em alguns dos julgamentos sobre este caso”, mas as três decisões que reconheceram a responsabilidade da Benesse foram todas emitidas em 2019.

O que é a ‘Lei Japonesa de Proteção de Informações Pessoais’ e Informações Pessoais? Um advogado explica

Primeiro caso judicial a reconhecer a responsabilidade da Benesse

Decisão do tribunal de primeira instância

Risco de vazamento de informações pessoais e compensação por danos em empresas
Apresentamos um caso em que a responsabilidade da Benesse foi reconhecida.

Um homem alegou ter sofrido angústia mental devido ao vazamento de suas informações pessoais, bem como as de sua esposa e filho, pela Benesse. Ele pediu uma compensação por danos com base em atos ilícitos. Pela primeira vez, a responsabilidade da Benesse foi reconhecida numa decisão de recurso.

O tribunal de primeira instância (Tribunal Distrital de Yokohama, decisão de 16 de fevereiro de 2017) reconheceu que a Benesse violou o seu dever de cuidado, mas rejeitou a reivindicação contra a Benesse, pois não havia provas suficientes de factos concretos que demonstrassem que a Benesse violou o seu dever de entender a situação de tratamento de dados pessoais. Como resultado, o homem e outros apelaram.

No tribunal de primeira instância, embora a Benesse tenha recebido uma recomendação com base no Artigo 34, Parágrafo 1 da Lei de Proteção de Informações Pessoais (Lei Japonesa de Proteção de Informações Pessoais) do Ministro da Economia, Comércio e Indústria por negligenciar os deveres dos Artigos 20 e 22 da mesma lei e causar o vazamento de informações neste caso, a recomendação com base no referido parágrafo é feita quando se reconhece que é necessário para proteger os direitos e interesses do indivíduo, e não requer a existência ou violação do dever de prever ou evitar resultados no momento do vazamento de informações. Portanto, apenas o fato de a recomendação ter sido feita não é suficiente para reconhecer que a Benesse tinha negligência sob o Artigo 709 do Código Civil (Código Civil Japonês) no momento do vazamento de informações neste caso.

Decisão do tribunal de recurso

Em resposta a isso, o tribunal de recurso, o Tribunal Superior de Tóquio (decisão de 27 de junho de 2019), assumiu o fato de que este não era um crime complexo realizado aplicando conhecimento avançado ou utilizando técnicas especiais, mas um crime simples que foi concebido e executado porque era possível transferir dados simplesmente conectando um smartphone a um computador de trabalho com um cabo USB comercial para carregar. O tribunal reconheceu que a empresa Synform tinha negligenciado o seu dever de cuidado de implementar medidas de controle de escrita para smartphones compatíveis com MTP, e que a Benesse, que tinha confiado a gestão de uma grande quantidade de informações pessoais à Synform, tinha negligenciado o seu dever de cuidado de supervisionar adequadamente o contratado em relação à gestão de informações pessoais no momento do vazamento. O tribunal considerou que estes atos ilícitos por ambas as empresas constituem um ato ilícito conjunto (Artigo 719, Parágrafo 1, Cláusula anterior do Código Civil Japonês).

Em seguida, o tribunal afirmou que “é natural para os apelantes pensarem que não querem que suas informações pessoais sejam divulgadas arbitrariamente a terceiros que não desejam, por isso, suas informações pessoais são objeto de proteção legal como informações relacionadas à sua privacidade, e os apelantes foram violados em sua privacidade pelo vazamento de informações neste caso”. Com base nisso, o tribunal ordenou à Benesse que pagasse a cada um dos apelantes uma compensação por danos de 2000 ienes, considerando que a Benesse começou a responder imediatamente após a descoberta do vazamento, tomou medidas para prevenir a expansão dos danos do vazamento de informações, realizou um relatório de investigação com base em relatórios e instruções para a autoridade supervisora, enviou uma carta de desculpas aos clientes que se acredita que tiveram suas informações vazadas, e distribuiu cupons de 500 ienes de acordo com a escolha, e que cada um dos apelantes recebeu um vale-presente eletrônico de 500 ienes.

Segundo caso judicial que reconhece a responsabilidade da Benesse

Numa ação judicial em que 13 clientes exigiram uma indemnização total de 980.000 ienes à empresa e às suas afiliadas, a sentença foi proferida no Tribunal Distrital de Tóquio a 6 de setembro de 2019, ordenando à Benesse e à Shinform que pagassem 3.000 ienes por pessoa (3.300 ienes para uma pessoa), num total de 42.300 ienes.

O tribunal não reconheceu a responsabilidade do empregador da Benesse para com a Shinform, uma entidade separada, mas considerou que a Shinform tinha negligenciado a revisão das configurações do software de segurança, permitindo a transferência de dados de computadores de trabalho para smartphones compatíveis com MTP, violando assim a obrigação de controlar a exportação de informações. Além disso, a Benesse, ao confiar o manuseio de grandes quantidades de informações de clientes para o desenvolvimento do sistema em questão, deveria ter assumido a responsabilidade de selecionar e supervisionar o contratado de acordo com o princípio da boa fé, mesmo em relação aos clientes, incluindo os queixosos. O tribunal reconheceu a existência de um ato ilícito conjunto (Artigo 719, parágrafo 1, primeira parte, do Código Civil Japonês) e ordenou o pagamento de indemnizações aos queixosos.

O que é a Responsabilidade do Utilizador na Gestão de Danos à Reputação

Nesta sentença, o Artigo 22 da Lei de Proteção de Informações Pessoais Japonesa foi citado, afirmando que “quando um operador de negócios de informações pessoais confia a totalidade ou parte do manuseio de dados pessoais a um terceiro, deve supervisionar adequadamente o terceiro para garantir a segurança dos dados pessoais confiados”. Além disso, foi apontado que as “supervisões necessárias e adequadas” nas diretrizes do Ministério da Economia, Comércio e Indústria do Japão de 2009 (ano Heisei 21) incluem a seleção adequada do contratado, a celebração de contratos necessários para garantir que o contratado cumpra as medidas de segurança estabelecidas no Artigo 20 da Lei de Proteção de Informações Pessoais Japonesa, e a compreensão da situação de manuseio dos dados pessoais confiados ao contratado.

Resumo

Inicialmente, a Benesse preparou um fundo de 20 bilhões de ienes para compensar as vítimas, mas isso acabou por ser insuficiente. Em novembro de 2014, a Associação Japonesa para a Promoção da Sociedade da Informação e Economia revogou a marca de privacidade que a Benesse Holdings havia obtido, que é concedida a empresas que gerem adequadamente as informações pessoais. Em abril de 2015, o número de membros do “Shinken Seminar” e “Kodomo Challenge” era de 2,71 milhões, uma diminuição de 940 mil em comparação com o mesmo mês do ano anterior, e os resultados consolidados do trimestre de abril a junho mostraram uma queda de 7% nas vendas e uma queda de 88% no lucro operacional em comparação com o mesmo período do ano anterior. O lucro operacional passou de um lucro de 3,91 bilhões de ienes no mesmo período do ano anterior para um prejuízo de 430 milhões de ienes. O risco de indemnização por danos devido à fuga de informações pessoais pode tornar-se uma questão de vida ou morte para as empresas.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Pontos a ter em atenção nos contratos de M&A de aplicações

Pontos a ter em atenção nos contratos de M&A de aplicações

General Corporate

Quais são as diretrizes a serem observadas na publicação de anúncios de produtos farmacêuticos não medicinais japoneses?

Quais são as diretrizes a serem observadas na publicação de anúncios de produtos farmacêuticos n.

General Corporate

É possível subcontratar em contratos de quase-agência e contratos de empreitada? Explicação com o desenvolvimento de sistemas como exemplo

É possível subcontratar em contratos de quase-agência e contratos de empreitada? Explicação com .

General Corporate

Pode um contrato de trabalho proibir a mudança para uma empresa concorrente através da obrigação de não concorrência?

Pode um contrato de trabalho proibir a mudança para uma empresa concorrente através da obrigação.

General Corporate

A 'Lei de Limitação de Responsabilidade dos Provedores' torna-se 'Lei de Medidas para Plataformas de Distribuição de Informação (Lei JōPura)' - Explicação dos pontos da revisão

A 'Lei de Limitação de Responsabilidade dos Provedores' torna-se 'Lei de Medidas para Plataforma.

General Corporate

Regulamentação legal sobre atividades de publicidade e promoção de STEM e outros na área alimentar

Regulamentação legal sobre atividades de publicidade e promoção de STEM e outros na área aliment.

General Corporate

O que são os riscos de violação de direitos de propriedade intelectual como patentes, marcas registradas, direitos autorais e suas medidas de proteção?

O que são os riscos de violação de direitos de propriedade intelectual como patentes, marcas reg.

General Corporate

Quais são os problemas legais e as condições necessárias para a implementação de serviços de doações por transmissão?

Quais são os problemas legais e as condições necessárias para a implementação de serviços de doa.

General Corporate

É possível cancelar uma oferta de emprego devido ao mau desempenho ou redução de negócios na pandemia de Corona?

É possível cancelar uma oferta de emprego devido ao mau desempenho ou redução de negócios na pan.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo