Nel giugno 2020 il governo giapponese ha promulgato un emendamento all’APPI. Il nuovo APPI modificato entrerà in vigore il 1° aprile 2022. Come altre leggi sulla privacy dei dati in tutto il mondo, l’APPI mira a proteggere i dati personali dei cittadini giapponesi.
Con un’altra revisione avvenuta in precedenza nel 2015, è fondamentale per le organizzazioni che utilizzano i dati personali in Giappone rivedere le loro conoscenze e pratiche per garantire la completa conformità con l’ultimo APPI.
L’APPI, o legge sulla protezione delle informazioni personali, è stata adottata per la prima volta nel 2003. In effetti, è stata una delle prime normative sulla protezione dei dati in Asia. Piuttosto che sostituire la legge, come hanno scelto di fare altre legislature, il Giappone ha rivisto la legge nel settembre 2015, a seguito di numerose violazioni dei dati di alto profilo.
La nuova revisione del 2015 ha introdotto la Commissione per la protezione delle informazioni personali (PIPC), un’agenzia indipendente incaricata di proteggere i diritti e gli interessi delle persone in relazione alla privacy dei dati. Incoraggia inoltre l’uso appropriato ed efficace dei dati personali.
Come altre normative sulla protezione dei dati, come il GDPR, l’APPI si applica a tutte le aziende che offrono beni e servizi in Giappone, indipendentemente dalla loro reale ubicazione. Si tratta del cosiddetto ambito extraterritoriale .
La versione del 2003 della legge era applicabile solo a un’organizzazione con almeno 5.000 individui identificabili nel proprio database durante i sei mesi precedenti. Tuttavia, le recenti modifiche significano che la legge si applica a tutte le organizzazioni che elaborano informazioni personali per scopi commerciali, indipendentemente dal numero di individui.
L’APPI modificato del 2020 non entrerà in vigore fino alla primavera del 2022, ma ciò non significa che le aziende non debbano fare i preparativi.
Ci sono quattro cambiamenti chiave di cui essere consapevoli:
Le organizzazioni sono obbligate a informare sia la Commissione per la protezione delle informazioni personali (PIPC) che gli interessati di qualsiasi violazione dei dati che rischi di danneggiare i diritti e gli interessi degli interessati.
Secondo l’emendamento, ciò include:
Violazioni dei dati che coinvolgono informazioni personali sensibili
Violazioni dei dati con rischio di danni alla proprietà
Violazioni dei dati probabilmente commesse per uso improprio, ad esempio un attacco informatico
Violazioni dei dati che coinvolgono più di 1.000 interessati
In questo caso, le organizzazioni che gestiscono dati pseudonimizzati non dovranno rispettare determinati obblighi, come le richieste degli interessati di cessare l’utilizzo dei dati personali.
Per pseudonimizzare i dati, le informazioni personali non devono contenere:
Descrizioni di individui specifici, ad esempio nome o età
Codici identificativi individuali
Descrizioni che possono causare danni alla proprietà
In precedenza, l’interessato deve essere informato della fornitura di dati personali a terzi. Ora, ai sensi dell’APPI modificato, le organizzazioni devono confermare che un destinatario ha ricevuto il consenso dall’interessato prima del trasferimento.
Il consenso deve essere documentato, insieme alla data di fornitura, al nome e all’indirizzo del destinatario e alle categorie di informazioni fornite. Questi registri devono essere conservati per tre anni.
Prima di effettuare un trasferimento transfrontaliero a terzi al di fuori del Giappone, l’interessato deve essere informato. Le informazioni fornite devono includere:
Nome del paese in cui i dati devono essere trasferiti
Il sistema di protezione delle informazioni personali del paese di destinazione
Misure di protezione dei dati che devono essere adottate dall'importatore
Quando un’organizzazione (l’esportatore dei dati) effettua un trasferimento transfrontaliero, deve:
Effettuare una conferma periodica dello stato dei dati personali e dello stato dei sistemi che influenzano il trattamento dei dati da parte dell'importatore
Valutare le misure di mitigazione nel caso in cui si verifichi un problema
Valutare le misure da adottare per garantire una corretta gestione continua dei dati
L’APPI sancisce diversi diritti dei cittadini in merito ai loro dati personali. Questi includono:
Il diritto di richiedere a un'organizzazione di cessare l'uso o il trasferimento dei propri dati personali se l'organizzazione non ha più un motivo valido per utilizzare i dati, se si è verificata una violazione dei dati o se il trattamento di tali dati viola i diritti dell'interessato.
Il diritto di accedere ai dati personali che un'organizzazione desidera eliminare entro sei mesi.
Il diritto di richiedere l'accesso ai documenti relativi ai trasferimenti di dati a terzi
Il diritto di richiedere a un'organizzazione la correzione, la revisione, la modifica o la cancellazione dei dati personali relativi all'interessato
Il diritto di richiedere una copia di qualsiasi informazione personale relativa all'interessato.
Secondo l’APPI, gli interessati possono contattare la PIPC per informarli di una violazione. La PIPC contatterà quindi l’organizzazione e chiederà loro di rettificare la situazione. In caso contrario, si procederà ad azioni e penalità successive.
Attualmente, la PIPC può applicare sanzioni fino a 100.000.000 di yen giapponesi (907.715 dollari) o una punizione penale fino a 1 anno di carcere.
Inoltre, in base al diritto privato di azione, i cittadini giapponesi possono citare in giudizio le organizzazioni che violano i loro diritti sui dati.
Con un recente picco di criminalità informatica e una serie di violazioni dei dati di alto profilo, l’emendamento all’APPI allinea il Giappone ad altre normative sulla privacy dei dati in tutto il mondo. Ad esempio, casi come lo “scandalo Rikunabi”, in cui i dati personali di 7.893 studenti iscritti sono stati forniti alle aziende clienti senza il consenso degli studenti, non sono più consentiti.
Al contrario, le nuove linee guida rigorose penalizzano pesantemente la cattiva condotta nella gestione dei dati, creando una serie di regole rigide da seguire per le organizzazioni. Tali regole si applicano a qualsiasi organizzazione che gestisce i dati dei cittadini giapponesi, indipendentemente dalla loro posizione.
Si spera che ora tu sia a conoscenza dei nuovi requisiti se non avevi ancora familiarizzato con l’APPI 2020 modificato. La modifica richiede il consenso dell’utente finale per il trasferimento di dati personali a terzi.
Per ulteriori informazioni, consultare il sito web della PIPC.
Fonti:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/
CookieHub scansiona automaticamente il tuo sito web per rilevare i cookie, garantendo che tutti i cookie siano facilmente gestiti.
©2025 CookieHub ehf.
