Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > O que é a "exceção da nuvem" na Lei de Proteção de Dados Pessoais? Uma explicação baseada em exemplos reais de orientações administrativas recebidas por provedores de serviços em nuvem.

O que é a "exceção da nuvem" na Lei de Proteção de Dados Pessoais? Uma explicação baseada em exemplos reais de orientações administrativas recebidas por provedores de serviços em nuvem.

IT

O que é a

Os operadores de negócios que lidam com informações pessoais estão sujeitos a várias regulamentações no tratamento dessas informações, de acordo com a Lei de Proteção de Informações Pessoais do Japão. As nossas informações pessoais estão profundamente ligadas à privacidade e incluem dados importantes relacionados a características físicas e patrimoniais, o que justifica a existência de regras rigorosas.

No entanto, existem algumas exceções a esta lei. Uma delas é conhecida como “exceção da nuvem”.

Então, o que é a “exceção da nuvem”? Este artigo irá explicar de forma clara o conceito de “exceção da nuvem” e as condições para a sua aplicação, com base no caso da MK System, que recebeu orientação administrativa no ano de Reiwa 6 (2024).

Princípios e Exceções na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa

Princípios e Exceções na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa

Primeiramente, vamos verificar os princípios e as exceções estabelecidos pela Lei de Proteção de Dados Pessoais do Japão quando se trata de partilhar dados pessoais com terceiros.

Princípios da Lei de Proteção de Dados Pessoais ao Fornecer Dados a Terceiros no Japão

Quando um operador de negócios que lida com informações pessoais utiliza serviços de nuvem, considera-se que está “delegando todo ou parte do processamento de dados pessoais” (Artigo 27, Parágrafo 5, Item 1 da Lei de Proteção de Dados Pessoais do Japão), e, de acordo com o Artigo 25 da mesma lei, deve-se realizar a supervisão necessária e adequada do fornecedor do serviço de nuvem. Este é o princípio fundamental.

O que é a Exceção de Nuvem sob a Lei Japonesa

A exceção a que nos referimos é conhecida como “exceção de nuvem”.

Os “prestadores de serviços de nuvem” mencionados neste contexto são empresas que fornecem principalmente infraestrutura de TI, como armazenamento e servidores (IaaS/PaaS), e oferecem serviços que armazenam e processam dados de outras empresas através da internet. Exemplos específicos de tais prestadores incluem:

  • Amazon Web Services (AWS): fornecido pela americana Amazon, é amplamente adotado por muitas empresas japonesas.
  • Microsoft Azure: serviço de infraestrutura de nuvem da Microsoft, com muitos casos de adoção por agências governamentais.
  • Google Cloud Platform (GCP): fornecido pelo Google, com pontos fortes em IA e processamento de big data.

A “exceção de nuvem” torna-se relevante quando empresas que desenvolvem sistemas na infraestrutura de nuvem (IaaS ou PaaS) dos prestadores de serviços de nuvem e os fornecem aos clientes no modelo SaaS (Software as a Service) lidam com dados pessoais.

Na seção de perguntas e respostas das diretrizes sobre a “Lei de Proteção de Informações Pessoais” da Comissão de Proteção de Informações Pessoais, a questão 7-53 aborda os prestadores de serviços de nuvem da seguinte forma:

(Quando não se aplica a terceiros) Q7-53 Se um operador de negócios que lida com informações pessoais utiliza um sistema de informação que lida com dados eletrônicos contendo dados pessoais, como um contrato de serviço de nuvem, utilizando um prestador de serviços externo, é necessário obter o “consentimento do titular dos dados” (Artigo 27, Parágrafo 1) como se tivesse fornecido dados pessoais a um terceiro? Ou, está “delegando todo ou parte do tratamento de dados pessoais” (Artigo 27, Parágrafo 5, Item 1), e assim, é necessário supervisionar o prestador de serviços de nuvem com base no Artigo 25?

A7-53 Existem muitas formas de serviços de nuvem, mas se o uso de um serviço de nuvem constitui uma oferta a terceiros que requer consentimento (Artigo 27, Parágrafo 1) ou uma delegação (Artigo 27, Parágrafo 5, Item 1) depende não de se os dados eletrônicos armazenados contêm dados pessoais, mas se o prestador de serviços de nuvem está de fato lidando com dados pessoais. Se o prestador de serviços de nuvem não estiver lidando com os dados pessoais, então o operador de negócios que lida com informações pessoais não é considerado como tendo fornecido dados pessoais, portanto, não é necessário obter o “consentimento do titular dos dados”. Além disso, no caso mencionado, como não se considera que os dados pessoais tenham sido fornecidos, não se aplica a situação de “delegar todo ou parte do tratamento de dados pessoais… quando fornecidos” (Artigo 27, Parágrafo 5, Item 1), e não há obrigação de supervisionar o prestador de serviços de nuvem com base no Artigo 25. Para orientações sobre as medidas de segurança que o operador de negócios que lida com informações pessoais deve considerar quando o prestador de serviços de nuvem não está lidando com os dados pessoais, veja Q7-54. Um caso em que o prestador de serviços de nuvem não está lidando com os dados pessoais pode ser quando os termos do contrato estipulam que o prestador de serviços externo não lida com os dados pessoais armazenados no servidor e quando o controle de acesso apropriado está sendo implementado. Para a relação com o Artigo 28, veja Q12-3.

Perguntas e Respostas sobre as Diretrizes da Lei de Proteção de Informações Pessoais[ja]|Comissão de Proteção de Informações Pessoais

Portanto, quando os usuários de serviços de nuvem utilizam esses serviços, não é necessário supervisionar o prestador de serviços de nuvem se os requisitos da exceção forem atendidos. Para que a “exceção de nuvem” seja reconhecida, são necessários os seguintes dois requisitos:

  • Os termos do contrato estipulam que o prestador de serviços externo não lida com os dados pessoais armazenados no servidor
  • Está sendo implementado um controle de acesso apropriado

Orientação Administrativa à MK System Co., Ltd. Sob a Lei de Proteção de Dados Pessoais do Japão

No dia 25 de março de Reiwa 6 (2024), a Comissão de Proteção de Dados Pessoais do Japão emitiu uma orientação à MK System Co., Ltd. com base no Artigo 147 da Lei de Proteção de Dados Pessoais. Este caso, que resultou no vazamento de informações de aproximadamente 7,5 milhões de pessoas, levou a Comissão a publicar um alerta sobre os pontos de atenção para os fornecedores de serviços de nuvem que se enquadram como operadores de dados pessoais sob a lei de proteção de dados.

Referência: Comissão de Proteção de Dados Pessoais | Alerta sobre pontos de atenção para fornecedores de serviços de nuvem que se enquadram como operadores de dados pessoais sob a lei de proteção de dados[ja]

Vamos examinar o caso da orientação administrativa à MK System Co., Ltd. relacionada à exceção de nuvem sob a Lei de Proteção de Dados Pessoais do Japão.

Resumo do Caso

A empresa MK System Co., Ltd. construiu um sistema de apoio a operações de segurança social e gestão de recursos humanos utilizando os servidores da Tencent Cloud na China, fornecendo serviços a utilizadores como escritórios de consultoria de recursos humanos.

Em junho de 2023 (Reiwa 5), o servidor sofreu um acesso não autorizado, o que levantou a possibilidade de vazamento de dados pessoais geridos (como nomes, datas de nascimento, sexo, endereços, números de seguro básico de pensão, números de seguro de emprego e My Number, etc., de empregados de empresas e estabelecimentos clientes dos consultores de recursos humanos).

Quando aplicamos as relações entre estas três entidades às diretrizes, obtemos o seguinte:

Posição nas DiretrizesEntidadeConteúdo
ContratanteUtilizadores como consultores de recursos humanos (Operadores de negócios de tratamento de informações pessoais)Responsáveis pelo tratamento de dados pessoais de clientes (empresas e indivíduos)
ContratadoMK System Co., Ltd.Fornecimento de um sistema que substitui e apoia as operações de consultoria de recursos humanos na nuvem. Processa dados pessoais com base nas instruções dos clientes
SubcontratadoTencent Cloud (China)A MK System subcontrata a infraestrutura de nuvem. Pode corresponder à transferência de dados para o estrangeiro

A Comissão de Proteção de Informações Pessoais do Japão determinou que havia falhas nas medidas de gestão de segurança técnica da MK System.

Conteúdo da Orientação Administrativa

Da Comissão de Proteção de Dados Pessoais, foi realizada uma orientação administrativa que inclui a direção conforme o Artigo 147 da Lei de Proteção de Dados Pessoais do Japão e a coleta de relatórios conforme o Artigo 146, Parágrafo 1, da mesma lei.

Alerta da Comissão de Proteção de Dados Pessoais do Japão

Foi também divulgado pela Comissão de Proteção de Dados Pessoais do Japão um alerta sobre “Pontos de atenção para os prestadores de serviços de nuvem que se enquadram como operadores de dados pessoais sob a lei de proteção de dados pessoais do Japão (Alerta)[ja]“.

Este alerta é dirigido principalmente aos utilizadores de serviços de nuvem, para que avaliem se a utilização desses serviços corresponde à subcontratação do tratamento de dados pessoais (Artigo 27, Parágrafo 5, Item 1 da Lei de Proteção de Dados Pessoais do Japão) e, caso corresponda, os operadores de dados pessoais que utilizam o serviço de nuvem devem exercer a supervisão necessária e adequada sobre o subcontratado.

Em relação ao sistema MK, foram identificados três pontos que não permitem a exceção de nuvem, sendo considerado um operador de dados pessoais e, portanto, necessitando de supervisão adequada no tratamento de dados pessoais:

  • Nos termos de uso, está estipulado que o prestador de serviços de nuvem pode realizar atos necessários, como monitoramento, análise e investigação de dados, quando considerado necessário para manutenção e operação, e que, exceto em certos casos, não pode usar ou divulgar dados no sistema sem permissão ou para terceiros, permitindo que o prestador de serviços de nuvem use dados pessoais dos utilizadores em circunstâncias específicas.
  • O prestador de serviços de nuvem possui uma ID de manutenção e está em condições de acessar os dados pessoais dos utilizadores, sem medidas de controle de acesso técnico implementadas para prevenir o tratamento.
  • Após trocar um documento de confirmação com o utilizador do serviço de nuvem, o prestador de serviços efetivamente tratou os dados pessoais do utilizador.
Pontos de atenção para os prestadores de serviços de nuvem que se enquadram como operadores de dados pessoais sob a lei de proteção de dados pessoais do Japão (Alerta)|Comissão de Proteção de Dados Pessoais[ja]

Pontos de Atenção para Fornecedores de Serviços de Cloud no Japão

Pontos de Atenção para Fornecedores de Serviços de Cloud no Japão

Considerando os problemas legais e as orientações e alertas administrativos explicados até agora, quais seriam os pontos de atenção para os fornecedores de serviços de cloud (no caso mencionado anteriormente, referimo-nos à MK System)?

Rever novamente se os requisitos da exceção de cloud estão sendo cumpridos

Primeiramente, é importante que os fornecedores revejam se os serviços que estão a oferecer cumprem com os requisitos da exceção de cloud.

Após o alerta da Comissão de Proteção de Informações Pessoais, é provável que os utilizadores de serviços de cloud verifiquem se os fornecedores cumprem com os requisitos da exceção de cloud.

Portanto, os fornecedores de serviços de cloud também devem assegurar-se de que estão a cumprir com os requisitos da exceção de cloud.

Se não cumprir com a exceção de cloud, deve-se responder à supervisão do contratante

Se os requisitos da exceção de cloud não forem cumpridos, será necessário responder à supervisão dos utilizadores do serviço de cloud (neste caso, escritórios de consultoria trabalhista e empresas que utilizam os serviços fornecidos pela MK System).

A supervisão por parte dos utilizadores do serviço de cloud incluirá as seguintes ações, conforme descrito nas diretrizes gerais sobre a proteção de informações pessoais (Seção 3-4-4 Supervisão do contratante, relacionada ao Artigo 25 da lei):

  • Seleção apropriada do contratado: é necessário confirmar que as medidas de gestão de segurança do contratado são equivalentes às exigidas pelo Artigo 23 da lei e pelas presentes diretrizes.
  • Conclusão do contrato de terceirização: é desejável que o contrato inclua a possibilidade do contratante compreender de forma razoável a situação do tratamento dos dados pessoais terceirizados.
  • Compreensão da situação do tratamento de dados pessoais pelo contratado: avaliar apropriadamente por meio de auditorias periódicas.

Se as medidas de gestão de segurança do contratado forem inadequadas, existe a possibilidade de o contrato ser rescindido, além da possibilidade de ser exigido que se adotem as medidas de segurança necessárias e que se responda a auditorias periódicas.

Conclusão: Consulte um Advogado Sobre a Proteção de Dados Pessoais em Serviços de Cloud Computing

Neste artigo, explicámos os riscos para os fornecedores de serviços de cloud computing que não cumprem as exceções de cloud, com base nas orientações administrativas publicadas pela Comissão de Proteção de Dados Pessoais do Japão em março de 2025 (2025年3月).

Na sequência de uma fuga de informação, a Comissão de Proteção de Dados Pessoais do Japão emitiu um alerta para os utilizadores de serviços de cloud computing. Este alerta é relevante não só para os utilizadores, mas também para as empresas fornecedoras de serviços de cloud computing, que devem rever os serviços que oferecem e estar atentas aos possíveis encargos que podem surgir.

Tendo em conta estas orientações administrativas, se existirem incertezas sobre os riscos que a sua empresa pode enfrentar ou sobre as medidas necessárias a tomar, recomenda-se a consulta com um advogado especializado.

Apresentação das Medidas da Nossa Firma

A Monolith Law Office é uma firma de advocacia com vasta experiência em TI, especialmente na intersecção entre a Internet e o direito. Nos dias de hoje, com muitas empresas de TI a utilizar serviços de cloud como a AWS para expandir os seus negócios, a fuga de informações pessoais tornou-se um dos riscos de gestão que não podem ser ignorados na operação de um negócio. Caso ocorra uma fuga de informações pessoais, isso pode ter um impacto devastador na atividade empresarial. A nossa firma possui conhecimento especializado na prevenção e resposta a fugas de informações. Pode encontrar mais detalhes no artigo abaixo.

Áreas de atuação da Monolith Law Office: Assuntos legais relacionados à proteção de informações pessoais sob a lei japonesa[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Quais são os problemas legais relacionados com o servidor e infraestrutura do desenvolvimento de sistemas?

Quais são os problemas legais relacionados com o servidor e infraestrutura do desenvolvimento de.

IT

Semelhanças entre a Verificação de Contratos e a Depuração explicadas por um Advogado Ex-Engenheiro de IT

Semelhanças entre a Verificação de Contratos e a Depuração explicadas por um Advogado Ex-Engenhe.

IT

Como são protegidos os direitos de propriedade intelectual no desenvolvimento de IA? Organizando os pontos de discussão sobre direitos autorais e patentes

Como são protegidos os direitos de propriedade intelectual no desenvolvimento de IA? Organizando.

IT

É possível a utilização comercial do ChatGPT? Um advogado explica questões de direitos autorais

É possível a utilização comercial do ChatGPT? Um advogado explica questões de direitos autorais

IT

Google Meu Negócio e a Pesquisa Online de Informações de Negócios Locais

Google Meu Negócio e a Pesquisa Online de Informações de Negócios Locais

IT

Explicação das Regulações Legais que Devem ser Observadas nos Aspetos de Hardware e Software no Negócio de IoT

Explicação das Regulações Legais que Devem ser Observadas nos Aspetos de Hardware e Software no .

IT

O que é a Governança de IA que as empresas devem adotar? Explicação dos pontos baseados nas

O que é a Governança de IA que as empresas devem adotar? Explicação dos pontos baseados nas "Dir.

IT

【Últimas Notícias】Comissão de Proteção de Dados Pessoais Japonesa emite alerta sobre o uso do ChatGPT

【Últimas Notícias】Comissão de Proteção de Dados Pessoais Japonesa emite alerta sobre o uso do Ch.

IT

O DoS é um crime? Advogado explica sobre o crime de obstrução de negócios por destruição de computadores eletrónicos e similares

O DoS é um crime? Advogado explica sobre o crime de obstrução de negócios por destruição de comp.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo