¿Qué es la APPI – Ley de Protección de Datos de Japón?

Table of Contents

En junio de 2020, el gobierno japonés promulgó una enmienda a la APPI. La nueva APPI modificada entrará en vigor el 1 de abril de 2022. Al igual que otras leyes de privacidad de datos en todo el mundo, la APPI tiene como objetivo proteger los datos personales de los ciudadanos japoneses.

Con otra revisión ocurrida anteriormente en 2015, es fundamental que las organizaciones que utilizan datos personales en Japón revisen su comprensión y prácticas para garantizar el cumplimiento completo de la última APPI.

¿Qué es la APPI?

La APPI o Ley de Protección de Datos Personales se adoptó por primera vez en 2003. De hecho, fue una de las primeras regulaciones de protección de datos en Asia. En lugar de sustituir la Ley, como optaron por hacer otras legislaturas, Japón revisó la ley en septiembre de 2015, tras numerosas violaciones de datos de alto perfil.

La nueva reforma de 2015 introdujo la Comisión de Protección de Información Personal (PIPC), una agencia independiente encargada de proteger los derechos e intereses de las personas en relación con la privacidad de los datos. También fomenta el uso adecuado y eficaz de los datos personales.

Al igual que otras leyes de protección de datos, como el RGPD, la APPI se aplica a todas las empresas que ofrecen bienes y servicios en Japón, independientemente de su verdadera ubicación. Es lo que se conoce como ámbito extraterritorial .

La versión de 2003 de la ley sólo era aplicable a una organización con al menos 5.000 personas identificables en su base de datos durante los seis meses anteriores. Sin embargo, las enmiendas recientes ahora significan que la Ley se aplica a todas las organizaciones que procesan información personal con fines comerciales, independientemente del número de individuos.

¿Qué hay de nuevo en la enmienda de 2020?

La APPI modificada de 2020 no entrará en vigor hasta la primavera de 2022, pero eso no significa que las empresas no deban hacer preparativos.

Hay cuatro cambios clave a tener en cuenta:

1. Notificación de violación de datos

Las organizaciones están obligadas a informar tanto a la Comisión de Protección de Información Personal (PIPC) como a los interesados de cualquier violación de datos que amenace dañar los derechos e intereses de los interesados.

De acuerdo con la enmienda, eso incluye:

  • Violaciones de datos que involucran información personal confidencial
  • Filtraciones de datos con riesgo de daños a la propiedad
  • Violaciones de datos probablemente cometidas por un uso indebido, por ejemplo, un ciberataque
  • Filtraciones de datos que involucran a más de 1.000 interesados

2. Datos seudonimizados

En este caso, las organizaciones que manejan datos seudonimizados no tendrán que cumplir con ciertas obligaciones, como las solicitudes de los interesados para dejar de usar datos personales.

Para seudonimizar los datos, la información personal no debe contener:

  • Descripciones de individuos específicos, por ejemplo, nombre o edad
  • Códigos de identificación individual
  • Descripciones que pueden causar daños a la propiedad

3. Suministro de datos a terceros

Previamente, se debe notificar al interesado el suministro de datos personales a terceros. Ahora, en virtud de la APPI enmendada, las organizaciones deben confirmar que un destinatario ha recibido el consentimiento del titular de los datos antes de la transferencia.

El consentimiento debe estar documentado, junto con la fecha de prestación, el nombre y la dirección del destinatario y las categorías de información proporcionada. Estos registros deben conservarse durante tres años.

4. Transferencias internacionales

Antes de realizar una transferencia transfronteriza a terceros fuera de Japón, se debe informar al interesado. La información proporcionada debe incluir:

  • Nombre del país al que se van a transferir los datos
  • El sistema de protección de datos personales del país de destino
  • Medidas de protección de datos que debe adoptar el importador de datos

Cuando una organización (el exportador de datos) realiza una transferencia transfronteriza, debe:

  • Llevar a cabo una confirmación periódica del estado de los datos personales y del estado de los sistemas que afectan al tratamiento de los datos por parte del importador de datos
  • Evaluar las medidas de mitigación en caso de que surja un problema
  • Evaluar las medidas que deben adoptarse para garantizar el tratamiento adecuado y continuado de los datos.

¿Cuáles son los derechos de los ciudadanos japoneses en virtud de la APPI?

En la APPI se consagran varios derechos de los ciudadanos con respecto a sus datos personales. Estos incluyen:

  • El derecho a solicitar a una organización que cese el uso o la transferencia de sus datos personales si la organización ya no tiene una razón válida para usar los datos, si se ha producido una violación de datos o si el manejo de dichos datos infringirá los derechos del interesado.
  • El derecho de acceso a los datos personales que una organización desea eliminar en un plazo de seis meses.
  • Derecho a solicitar el acceso a los registros relativos a las transferencias de datos a terceros
  • El derecho a solicitar a una organización que corrija, revise, modifique o elimine los datos personales relacionados con el sujeto de los datos
  • El derecho a solicitar una copia de cualquier información personal relacionada con el interesado.

Sanciones en virtud de la APPI

Según la APPI, los interesados pueden ponerse en contacto con la PIPC para informarles de una infracción. A continuación, el PIPC se pondrá en contacto con la organización y les solicitará que rectifiquen la situación. De lo contrario, se producirán acciones y sanciones posteriores.

Actualmente, el PIPC puede imponer sanciones de hasta 100.000.000 de yenes japoneses (907.715 dólares) o un castigo penal de hasta 1 año de prisión.

Además, en virtud del derecho privado a la acción, los ciudadanos japoneses pueden demandar a las organizaciones que violen sus derechos sobre los datos.

Conclusión

Con un reciente aumento de la ciberdelincuencia y una serie de violaciones de datos de alto perfil, la enmienda a la APPI alinea a Japón con otras regulaciones de privacidad de datos en todo el mundo. Por ejemplo, casos como el «escándalo Rikunabi», en el que los datos personales de 7.893 estudiantes registrados se proporcionaron a empresas clientes sin el consentimiento de los estudiantes, ya no están permitidos.

En cambio, las nuevas directrices estrictas penalizan en gran medida la mala conducta en el manejo de datos, creando un conjunto de reglas rígidas que las organizaciones deben seguir. Esas reglas se aplican a cualquier organización que maneje los datos de ciudadanos japoneses, independientemente de su ubicación.

Con suerte, ahora conoce los nuevos requisitos si aún no se había familiarizado con la APPI modificada de 2020. La modificación requiere el consentimiento del usuario final cuando se transfieren datos personales a terceros.

Para más información, consulte el sitio web del PIPC.

Fuentes:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/

Sales & Support