{"id":73004,"date":"2025-07-29T16:47:54","date_gmt":"2025-07-29T07:47:54","guid":{"rendered":"https:\/\/monolith.law\/pt\/?p=73004"},"modified":"2025-08-15T15:22:00","modified_gmt":"2025-08-15T06:22:00","slug":"personal-information-cloud-exceptions","status":"publish","type":"post","link":"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions","title":{"rendered":"O que \u00e9 a &#8220;exce\u00e7\u00e3o da nuvem&#8221; na Lei de Prote\u00e7\u00e3o de Dados Pessoais? Uma explica\u00e7\u00e3o baseada em exemplos reais de orienta\u00e7\u00f5es administrativas recebidas por provedores de servi\u00e7os em nuvem."},"content":{"rendered":"\n<p>Os operadores de neg\u00f3cios que lidam com informa\u00e7\u00f5es pessoais est\u00e3o sujeitos a v\u00e1rias regulamenta\u00e7\u00f5es no tratamento dessas informa\u00e7\u00f5es, de acordo com a Lei de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais do Jap\u00e3o. As nossas informa\u00e7\u00f5es pessoais est\u00e3o profundamente ligadas \u00e0 privacidade e incluem dados importantes relacionados a caracter\u00edsticas f\u00edsicas e patrimoniais, o que justifica a exist\u00eancia de regras rigorosas.<\/p>\n\n\n\n<p>No entanto, existem algumas exce\u00e7\u00f5es a esta lei. Uma delas \u00e9 conhecida como &#8220;exce\u00e7\u00e3o da nuvem&#8221;.<\/p>\n\n\n\n<p>Ent\u00e3o, o que \u00e9 a &#8220;exce\u00e7\u00e3o da nuvem&#8221;? Este artigo ir\u00e1 explicar de forma clara o conceito de &#8220;exce\u00e7\u00e3o da nuvem&#8221; e as condi\u00e7\u00f5es para a sua aplica\u00e7\u00e3o, com base no caso da MK System, que recebeu orienta\u00e7\u00e3o administrativa no ano de Reiwa 6 (2024).<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Principios_e_Excecoes_na_Partilha_de_Dados_Pessoais_com_Terceiros_Sob_a_Lei_Japonesa\" title=\"Princ\u00edpios e Exce\u00e7\u00f5es na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa\">Princ\u00edpios e Exce\u00e7\u00f5es na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Principios_da_Lei_de_Protecao_de_Dados_Pessoais_ao_Fornecer_Dados_a_Terceiros_no_Japao\" title=\"Princ\u00edpios da Lei de Prote\u00e7\u00e3o de Dados Pessoais ao Fornecer Dados a Terceiros no Jap\u00e3o\">Princ\u00edpios da Lei de Prote\u00e7\u00e3o de Dados Pessoais ao Fornecer Dados a Terceiros no Jap\u00e3o<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#O_que_e_a_Excecao_de_Nuvem_sob_a_Lei_Japonesa\" title=\"O que \u00e9 a Exce\u00e7\u00e3o de Nuvem sob a Lei Japonesa\">O que \u00e9 a Exce\u00e7\u00e3o de Nuvem sob a Lei Japonesa<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Orientacao_Administrativa_a_MK_System_Co_Ltd_Sob_a_Lei_de_Protecao_de_Dados_Pessoais_do_Japao\" title=\"Orienta\u00e7\u00e3o Administrativa \u00e0 MK System Co., Ltd. Sob a Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o\">Orienta\u00e7\u00e3o Administrativa \u00e0 MK System Co., Ltd. Sob a Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Resumo_do_Caso\" title=\"Resumo do Caso\">Resumo do Caso<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Conteudo_da_Orientacao_Administrativa\" title=\"Conte\u00fado da Orienta\u00e7\u00e3o Administrativa\">Conte\u00fado da Orienta\u00e7\u00e3o Administrativa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Alerta_da_Comissao_de_Protecao_de_Dados_Pessoais_do_Japao\" title=\"Alerta da Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o\">Alerta da Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Pontos_de_Atencao_para_Fornecedores_de_Servicos_de_Cloud_no_Japao\" title=\"Pontos de Aten\u00e7\u00e3o para Fornecedores de Servi\u00e7os de Cloud no Jap\u00e3o\">Pontos de Aten\u00e7\u00e3o para Fornecedores de Servi\u00e7os de Cloud no Jap\u00e3o<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Rever_novamente_se_os_requisitos_da_excecao_de_cloud_estao_sendo_cumpridos\" title=\"Rever novamente se os requisitos da exce\u00e7\u00e3o de cloud est\u00e3o sendo cumpridos\">Rever novamente se os requisitos da exce\u00e7\u00e3o de cloud est\u00e3o sendo cumpridos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Se_nao_cumprir_com_a_excecao_de_cloud_deve-se_responder_a_supervisao_do_contratante\" title=\"Se n\u00e3o cumprir com a exce\u00e7\u00e3o de cloud, deve-se responder \u00e0 supervis\u00e3o do contratante\">Se n\u00e3o cumprir com a exce\u00e7\u00e3o de cloud, deve-se responder \u00e0 supervis\u00e3o do contratante<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Conclusao_Consulte_um_Advogado_Sobre_a_Protecao_de_Dados_Pessoais_em_Servicos_de_Cloud_Computing\" title=\"Conclus\u00e3o: Consulte um Advogado Sobre a Prote\u00e7\u00e3o de Dados Pessoais em Servi\u00e7os de Cloud Computing\">Conclus\u00e3o: Consulte um Advogado Sobre a Prote\u00e7\u00e3o de Dados Pessoais em Servi\u00e7os de Cloud Computing<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/pt\/it\/personal-information-cloud-exceptions\/#Apresentacao_das_Medidas_da_Nossa_Firma\" title=\"Apresenta\u00e7\u00e3o das Medidas da Nossa Firma\">Apresenta\u00e7\u00e3o das Medidas da Nossa Firma<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Principios_e_Excecoes_na_Partilha_de_Dados_Pessoais_com_Terceiros_Sob_a_Lei_Japonesa\"><\/span>Princ\u00edpios e Exce\u00e7\u00f5es na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/b220cbcc20a6fcb8115bfe357ec9f5f6.jpg\" alt=\"Princ\u00edpios e Exce\u00e7\u00f5es na Partilha de Dados Pessoais com Terceiros Sob a Lei Japonesa\" class=\"wp-image-137683\" \/><\/figure>\n\n\n\n<p>Primeiramente, vamos verificar os princ\u00edpios e as exce\u00e7\u00f5es estabelecidos pela Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o quando se trata de partilhar dados pessoais com terceiros.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Principios_da_Lei_de_Protecao_de_Dados_Pessoais_ao_Fornecer_Dados_a_Terceiros_no_Japao\"><\/span>Princ\u00edpios da Lei de Prote\u00e7\u00e3o de Dados Pessoais ao Fornecer Dados a Terceiros no Jap\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Quando um operador de neg\u00f3cios que lida com informa\u00e7\u00f5es pessoais utiliza servi\u00e7os de nuvem, considera-se que est\u00e1 &#8220;delegando todo ou parte do processamento de dados pessoais&#8221; (Artigo 27, Par\u00e1grafo 5, Item 1 da Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o), e, de acordo com o Artigo 25 da mesma lei, deve-se realizar a supervis\u00e3o necess\u00e1ria e adequada do fornecedor do servi\u00e7o de nuvem. Este \u00e9 o princ\u00edpio fundamental.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"O_que_e_a_Excecao_de_Nuvem_sob_a_Lei_Japonesa\"><\/span>O que \u00e9 a Exce\u00e7\u00e3o de Nuvem sob a Lei Japonesa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>A exce\u00e7\u00e3o a que nos referimos \u00e9 conhecida como &#8220;exce\u00e7\u00e3o de nuvem&#8221;.<\/p>\n\n\n\n<p>Os &#8220;prestadores de servi\u00e7os de nuvem&#8221; mencionados neste contexto s\u00e3o empresas que fornecem principalmente infraestrutura de TI, como armazenamento e servidores (IaaS\/PaaS), e oferecem servi\u00e7os que armazenam e processam dados de outras empresas atrav\u00e9s da internet. Exemplos espec\u00edficos de tais prestadores incluem:<\/p>\n\n\n\n<ul>\n<li>Amazon Web Services (AWS): fornecido pela americana Amazon, \u00e9 amplamente adotado por muitas empresas japonesas.<\/li>\n\n\n\n<li>Microsoft Azure: servi\u00e7o de infraestrutura de nuvem da Microsoft, com muitos casos de ado\u00e7\u00e3o por ag\u00eancias governamentais.<\/li>\n\n\n\n<li>Google Cloud Platform (GCP): fornecido pelo Google, com pontos fortes em IA e processamento de big data.<\/li>\n<\/ul>\n\n\n\n<p>A &#8220;exce\u00e7\u00e3o de nuvem&#8221; torna-se relevante quando empresas que desenvolvem sistemas na infraestrutura de nuvem (IaaS ou PaaS) dos prestadores de servi\u00e7os de nuvem e os fornecem aos clientes no modelo SaaS (Software as a Service) lidam com dados pessoais.<\/p>\n\n\n\n<p>Na se\u00e7\u00e3o de perguntas e respostas das diretrizes sobre a &#8220;Lei de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais&#8221; da Comiss\u00e3o de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais, a quest\u00e3o 7-53 aborda os prestadores de servi\u00e7os de nuvem da seguinte forma:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>(Quando n\u00e3o se aplica a terceiros) Q7-53 Se um operador de neg\u00f3cios que lida com informa\u00e7\u00f5es pessoais utiliza um sistema de informa\u00e7\u00e3o que lida com dados eletr\u00f4nicos contendo dados pessoais, como um contrato de servi\u00e7o de nuvem, utilizando um prestador de servi\u00e7os externo, \u00e9 necess\u00e1rio obter o &#8220;consentimento do titular dos dados&#8221; (Artigo 27, Par\u00e1grafo 1) como se tivesse fornecido dados pessoais a um terceiro? Ou, est\u00e1 &#8220;delegando todo ou parte do tratamento de dados pessoais&#8221; (Artigo 27, Par\u00e1grafo 5, Item 1), e assim, \u00e9 necess\u00e1rio supervisionar o prestador de servi\u00e7os de nuvem com base no Artigo 25?<\/p>\n\n\n\n<p>A7-53 Existem muitas formas de servi\u00e7os de nuvem, mas se o uso de um servi\u00e7o de nuvem constitui uma oferta a terceiros que requer consentimento (Artigo 27, Par\u00e1grafo 1) ou uma delega\u00e7\u00e3o (Artigo 27, Par\u00e1grafo 5, Item 1) depende n\u00e3o de se os dados eletr\u00f4nicos armazenados cont\u00eam dados pessoais, mas se o prestador de servi\u00e7os de nuvem est\u00e1 de fato lidando com dados pessoais. Se o prestador de servi\u00e7os de nuvem n\u00e3o estiver lidando com os dados pessoais, ent\u00e3o o operador de neg\u00f3cios que lida com informa\u00e7\u00f5es pessoais n\u00e3o \u00e9 considerado como tendo fornecido dados pessoais, portanto, n\u00e3o \u00e9 necess\u00e1rio obter o &#8220;consentimento do titular dos dados&#8221;. Al\u00e9m disso, no caso mencionado, como n\u00e3o se considera que os dados pessoais tenham sido fornecidos, n\u00e3o se aplica a situa\u00e7\u00e3o de &#8220;delegar todo ou parte do tratamento de dados pessoais&#8230; quando fornecidos&#8221; (Artigo 27, Par\u00e1grafo 5, Item 1), e n\u00e3o h\u00e1 obriga\u00e7\u00e3o de supervisionar o prestador de servi\u00e7os de nuvem com base no Artigo 25. Para orienta\u00e7\u00f5es sobre as medidas de seguran\u00e7a que o operador de neg\u00f3cios que lida com informa\u00e7\u00f5es pessoais deve considerar quando o prestador de servi\u00e7os de nuvem n\u00e3o est\u00e1 lidando com os dados pessoais, veja Q7-54. Um caso em que o prestador de servi\u00e7os de nuvem n\u00e3o est\u00e1 lidando com os dados pessoais pode ser quando os termos do contrato estipulam que o prestador de servi\u00e7os externo n\u00e3o lida com os dados pessoais armazenados no servidor e quando o controle de acesso apropriado est\u00e1 sendo implementado. Para a rela\u00e7\u00e3o com o Artigo 28, veja Q12-3.<\/p>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/personalinfo\/faq\/APPI_QA\/\" target=\"_blank\" rel=\"noreferrer noopener\">Perguntas e Respostas sobre as Diretrizes da Lei de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais[ja]<\/a><em>\uff5cComiss\u00e3o de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais<\/em><\/cite><\/blockquote>\n\n\n\n<p>Portanto, quando os usu\u00e1rios de servi\u00e7os de nuvem utilizam esses servi\u00e7os, n\u00e3o \u00e9 necess\u00e1rio supervisionar o prestador de servi\u00e7os de nuvem se os requisitos da exce\u00e7\u00e3o forem atendidos. Para que a &#8220;exce\u00e7\u00e3o de nuvem&#8221; seja reconhecida, s\u00e3o necess\u00e1rios os seguintes dois requisitos:<\/p>\n\n\n\n<ul>\n<li>Os termos do contrato estipulam que o prestador de servi\u00e7os externo n\u00e3o lida com os dados pessoais armazenados no servidor<\/li>\n\n\n\n<li>Est\u00e1 sendo implementado um controle de acesso apropriado<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Orientacao_Administrativa_a_MK_System_Co_Ltd_Sob_a_Lei_de_Protecao_de_Dados_Pessoais_do_Japao\"><\/span>Orienta\u00e7\u00e3o Administrativa \u00e0 MK System Co., Ltd. Sob a Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>No dia 25 de mar\u00e7o de Reiwa 6 (2024), a Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o emitiu uma orienta\u00e7\u00e3o \u00e0 MK System Co., Ltd. com base no Artigo 147 da Lei de Prote\u00e7\u00e3o de Dados Pessoais. Este caso, que resultou no vazamento de informa\u00e7\u00f5es de aproximadamente 7,5 milh\u00f5es de pessoas, levou a Comiss\u00e3o a publicar um alerta sobre os pontos de aten\u00e7\u00e3o para os fornecedores de servi\u00e7os de nuvem que se enquadram como operadores de dados pessoais sob a lei de prote\u00e7\u00e3o de dados.<\/p>\n\n\n\n<p>Refer\u00eancia: <a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais | Alerta sobre pontos de aten\u00e7\u00e3o para fornecedores de servi\u00e7os de nuvem que se enquadram como operadores de dados pessoais sob a lei de prote\u00e7\u00e3o de dados[ja]<\/a><\/p>\n\n\n\n<p>Vamos examinar o caso da orienta\u00e7\u00e3o administrativa \u00e0 MK System Co., Ltd. relacionada \u00e0 exce\u00e7\u00e3o de nuvem sob a Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumo_do_Caso\"><\/span>Resumo do Caso<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>A empresa MK System Co., Ltd. construiu um sistema de apoio a opera\u00e7\u00f5es de seguran\u00e7a social e gest\u00e3o de recursos humanos utilizando os servidores da Tencent Cloud na China, fornecendo servi\u00e7os a utilizadores como escrit\u00f3rios de consultoria de recursos humanos.<\/p>\n\n\n\n<p>Em junho de 2023 (Reiwa 5), o servidor sofreu um acesso n\u00e3o autorizado, o que levantou a possibilidade de vazamento de dados pessoais geridos (como nomes, datas de nascimento, sexo, endere\u00e7os, n\u00fameros de seguro b\u00e1sico de pens\u00e3o, n\u00fameros de seguro de emprego e My Number, etc., de empregados de empresas e estabelecimentos clientes dos consultores de recursos humanos).<\/p>\n\n\n\n<p>Quando aplicamos as rela\u00e7\u00f5es entre estas tr\u00eas entidades \u00e0s diretrizes, obtemos o seguinte:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Posi\u00e7\u00e3o nas Diretrizes<\/td><td>Entidade<\/td><td>Conte\u00fado<\/td><\/tr><tr><td>Contratante<\/td><td>Utilizadores como consultores de recursos humanos (Operadores de neg\u00f3cios de tratamento de informa\u00e7\u00f5es pessoais)<\/td><td>Respons\u00e1veis pelo tratamento de dados pessoais de clientes (empresas e indiv\u00edduos)<\/td><\/tr><tr><td>Contratado<\/td><td>MK System Co., Ltd.<\/td><td>Fornecimento de um sistema que substitui e apoia as opera\u00e7\u00f5es de consultoria de recursos humanos na nuvem. Processa dados pessoais com base nas instru\u00e7\u00f5es dos clientes<\/td><\/tr><tr><td>Subcontratado<\/td><td>Tencent Cloud (China)<\/td><td>A MK System subcontrata a infraestrutura de nuvem. Pode corresponder \u00e0 transfer\u00eancia de dados para o estrangeiro<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>A Comiss\u00e3o de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais do Jap\u00e3o determinou que havia falhas nas medidas de gest\u00e3o de seguran\u00e7a t\u00e9cnica da MK System.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conteudo_da_Orientacao_Administrativa\"><\/span>Conte\u00fado da Orienta\u00e7\u00e3o Administrativa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Da Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais, foi realizada uma orienta\u00e7\u00e3o administrativa que inclui a dire\u00e7\u00e3o conforme o Artigo 147 da Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o e a coleta de relat\u00f3rios conforme o Artigo 146, Par\u00e1grafo 1, da mesma lei.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Alerta_da_Comissao_de_Protecao_de_Dados_Pessoais_do_Japao\"><\/span>Alerta da Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Foi tamb\u00e9m divulgado pela Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o um alerta sobre &#8220;<a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Pontos de aten\u00e7\u00e3o para os prestadores de servi\u00e7os de nuvem que se enquadram como operadores de dados pessoais sob a lei de prote\u00e7\u00e3o de dados pessoais do Jap\u00e3o (Alerta)[ja]<\/a>&#8220;.<\/p>\n\n\n\n<p>Este alerta \u00e9 dirigido principalmente aos utilizadores de servi\u00e7os de nuvem, para que avaliem se a utiliza\u00e7\u00e3o desses servi\u00e7os corresponde \u00e0 subcontrata\u00e7\u00e3o do tratamento de dados pessoais (Artigo 27, Par\u00e1grafo 5, Item 1 da Lei de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o) e, caso corresponda, os operadores de dados pessoais que utilizam o servi\u00e7o de nuvem devem exercer a supervis\u00e3o necess\u00e1ria e adequada sobre o subcontratado.<\/p>\n\n\n\n<p>Em rela\u00e7\u00e3o ao sistema MK, foram identificados tr\u00eas pontos que n\u00e3o permitem a exce\u00e7\u00e3o de nuvem, sendo considerado um operador de dados pessoais e, portanto, necessitando de supervis\u00e3o adequada no tratamento de dados pessoais:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<ul>\n<li>Nos termos de uso, est\u00e1 estipulado que o prestador de servi\u00e7os de nuvem pode realizar atos necess\u00e1rios, como monitoramento, an\u00e1lise e investiga\u00e7\u00e3o de dados, quando considerado necess\u00e1rio para manuten\u00e7\u00e3o e opera\u00e7\u00e3o, e que, exceto em certos casos, n\u00e3o pode usar ou divulgar dados no sistema sem permiss\u00e3o ou para terceiros, permitindo que o prestador de servi\u00e7os de nuvem use dados pessoais dos utilizadores em circunst\u00e2ncias espec\u00edficas.<\/li>\n\n\n\n<li>O prestador de servi\u00e7os de nuvem possui uma ID de manuten\u00e7\u00e3o e est\u00e1 em condi\u00e7\u00f5es de acessar os dados pessoais dos utilizadores, sem medidas de controle de acesso t\u00e9cnico implementadas para prevenir o tratamento.<\/li>\n\n\n\n<li>Ap\u00f3s trocar um documento de confirma\u00e7\u00e3o com o utilizador do servi\u00e7o de nuvem, o prestador de servi\u00e7os efetivamente tratou os dados pessoais do utilizador.<\/li>\n<\/ul>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/240325_alert_cloud_service_provider.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Pontos de aten\u00e7\u00e3o para os prestadores de servi\u00e7os de nuvem que se enquadram como operadores de dados pessoais sob a lei de prote\u00e7\u00e3o de dados pessoais do Jap\u00e3o (Alerta)\uff5cComiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais[ja]<\/a><br><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pontos_de_Atencao_para_Fornecedores_de_Servicos_de_Cloud_no_Japao\"><\/span>Pontos de Aten\u00e7\u00e3o para Fornecedores de Servi\u00e7os de Cloud no Jap\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/7d8b9299c2a15a801c04913ba0d80d99.jpg\" alt=\"Pontos de Aten\u00e7\u00e3o para Fornecedores de Servi\u00e7os de Cloud no Jap\u00e3o\" class=\"wp-image-137684\" \/><\/figure>\n\n\n\n<p>Considerando os problemas legais e as orienta\u00e7\u00f5es e alertas administrativos explicados at\u00e9 agora, quais seriam os pontos de aten\u00e7\u00e3o para os fornecedores de servi\u00e7os de cloud (no caso mencionado anteriormente, referimo-nos \u00e0 MK System)?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rever_novamente_se_os_requisitos_da_excecao_de_cloud_estao_sendo_cumpridos\"><\/span>Rever novamente se os requisitos da exce\u00e7\u00e3o de cloud est\u00e3o sendo cumpridos<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Primeiramente, \u00e9 importante que os fornecedores revejam se os servi\u00e7os que est\u00e3o a oferecer cumprem com os requisitos da exce\u00e7\u00e3o de cloud.<\/p>\n\n\n\n<p>Ap\u00f3s o alerta da Comiss\u00e3o de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais, \u00e9 prov\u00e1vel que os utilizadores de servi\u00e7os de cloud verifiquem se os fornecedores cumprem com os requisitos da exce\u00e7\u00e3o de cloud.<\/p>\n\n\n\n<p>Portanto, os fornecedores de servi\u00e7os de cloud tamb\u00e9m devem assegurar-se de que est\u00e3o a cumprir com os requisitos da exce\u00e7\u00e3o de cloud.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Se_nao_cumprir_com_a_excecao_de_cloud_deve-se_responder_a_supervisao_do_contratante\"><\/span>Se n\u00e3o cumprir com a exce\u00e7\u00e3o de cloud, deve-se responder \u00e0 supervis\u00e3o do contratante<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Se os requisitos da exce\u00e7\u00e3o de cloud n\u00e3o forem cumpridos, ser\u00e1 necess\u00e1rio responder \u00e0 supervis\u00e3o dos utilizadores do servi\u00e7o de cloud (neste caso, escrit\u00f3rios de consultoria trabalhista e empresas que utilizam os servi\u00e7os fornecidos pela MK System).<\/p>\n\n\n\n<p>A supervis\u00e3o por parte dos utilizadores do servi\u00e7o de cloud incluir\u00e1 as seguintes a\u00e7\u00f5es, conforme descrito nas diretrizes gerais sobre a prote\u00e7\u00e3o de informa\u00e7\u00f5es pessoais (Se\u00e7\u00e3o 3-4-4 Supervis\u00e3o do contratante, relacionada ao Artigo 25 da lei):<\/p>\n\n\n\n<ul>\n<li>Sele\u00e7\u00e3o apropriada do contratado: \u00e9 necess\u00e1rio confirmar que as medidas de gest\u00e3o de seguran\u00e7a do contratado s\u00e3o equivalentes \u00e0s exigidas pelo Artigo 23 da lei e pelas presentes diretrizes.<\/li>\n\n\n\n<li>Conclus\u00e3o do contrato de terceiriza\u00e7\u00e3o: \u00e9 desej\u00e1vel que o contrato inclua a possibilidade do contratante compreender de forma razo\u00e1vel a situa\u00e7\u00e3o do tratamento dos dados pessoais terceirizados.<\/li>\n\n\n\n<li>Compreens\u00e3o da situa\u00e7\u00e3o do tratamento de dados pessoais pelo contratado: avaliar apropriadamente por meio de auditorias peri\u00f3dicas.<\/li>\n<\/ul>\n\n\n\n<p>Se as medidas de gest\u00e3o de seguran\u00e7a do contratado forem inadequadas, existe a possibilidade de o contrato ser rescindido, al\u00e9m da possibilidade de ser exigido que se adotem as medidas de seguran\u00e7a necess\u00e1rias e que se responda a auditorias peri\u00f3dicas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conclusao_Consulte_um_Advogado_Sobre_a_Protecao_de_Dados_Pessoais_em_Servicos_de_Cloud_Computing\"><\/span>Conclus\u00e3o: Consulte um Advogado Sobre a Prote\u00e7\u00e3o de Dados Pessoais em Servi\u00e7os de Cloud Computing<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Neste artigo, explic\u00e1mos os riscos para os fornecedores de servi\u00e7os de cloud computing que n\u00e3o cumprem as exce\u00e7\u00f5es de cloud, com base nas orienta\u00e7\u00f5es administrativas publicadas pela Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o em mar\u00e7o de 2025 (2025\u5e743\u6708).<\/p>\n\n\n\n<p>Na sequ\u00eancia de uma fuga de informa\u00e7\u00e3o, a Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais do Jap\u00e3o emitiu um alerta para os utilizadores de servi\u00e7os de cloud computing. Este alerta \u00e9 relevante n\u00e3o s\u00f3 para os utilizadores, mas tamb\u00e9m para as empresas fornecedoras de servi\u00e7os de cloud computing, que devem rever os servi\u00e7os que oferecem e estar atentas aos poss\u00edveis encargos que podem surgir.<\/p>\n\n\n\n<p>Tendo em conta estas orienta\u00e7\u00f5es administrativas, se existirem incertezas sobre os riscos que a sua empresa pode enfrentar ou sobre as medidas necess\u00e1rias a tomar, recomenda-se a consulta com um advogado especializado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Apresentacao_das_Medidas_da_Nossa_Firma\"><\/span>Apresenta\u00e7\u00e3o das Medidas da Nossa Firma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>A Monolith Law Office \u00e9 uma firma de advocacia com vasta experi\u00eancia em TI, especialmente na intersec\u00e7\u00e3o entre a Internet e o direito. Nos dias de hoje, com muitas empresas de TI a utilizar servi\u00e7os de cloud como a AWS para expandir os seus neg\u00f3cios, a fuga de informa\u00e7\u00f5es pessoais tornou-se um dos riscos de gest\u00e3o que n\u00e3o podem ser ignorados na opera\u00e7\u00e3o de um neg\u00f3cio. Caso ocorra uma fuga de informa\u00e7\u00f5es pessoais, isso pode ter um impacto devastador na atividade empresarial. A nossa firma possui conhecimento especializado na preven\u00e7\u00e3o e resposta a fugas de informa\u00e7\u00f5es. Pode encontrar mais detalhes no artigo abaixo.<\/p>\n\n\n\n<p>\u00c1reas de atua\u00e7\u00e3o da Monolith Law Office: <a href=\"https:\/\/monolith.law\/personalinformation\" target=\"_blank\" rel=\"noreferrer noopener\">Assuntos legais relacionados \u00e0 prote\u00e7\u00e3o de informa\u00e7\u00f5es pessoais sob a lei japonesa[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os operadores de neg\u00f3cios que lidam com informa\u00e7\u00f5es pessoais est\u00e3o sujeitos a v\u00e1rias regulamenta\u00e7\u00f5es no tratamento dessas informa\u00e7\u00f5es, de acordo com a Lei de Prote\u00e7\u00e3o de Informa\u00e7\u00f5es Pessoais do Jap\u00e3o. [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":73174,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,51],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/73004"}],"collection":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/comments?post=73004"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/73004\/revisions"}],"predecessor-version":[{"id":73175,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/73004\/revisions\/73175"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/media\/73174"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/media?parent=73004"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/categories?post=73004"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/tags?post=73004"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}