Nel giugno 2020 il governo giapponese ha promulgato un emendamento all’APPI. Il nuovo APPI modificato entrerà in vigore il 1° aprile 2022. Come altre leggi sulla privacy dei dati in tutto il mondo, l’APPI mira a proteggere i dati personali dei cittadini giapponesi.
Con un’altra revisione avvenuta in precedenza nel 2015, è fondamentale per le organizzazioni che utilizzano i dati personali in Giappone rivedere le loro conoscenze e pratiche per garantire la completa conformità con l’ultimo APPI.
Che cos'è l'APPI?
L’APPI, o legge sulla protezione delle informazioni personali, è stata adottata per la prima volta nel 2003. In effetti, è stata una delle prime normative sulla protezione dei dati in Asia. Piuttosto che sostituire la legge, come hanno scelto di fare altre legislature, il Giappone ha rivisto la legge nel settembre 2015, a seguito di numerose violazioni dei dati di alto profilo.
La nuova revisione del 2015 ha introdotto la Commissione per la protezione delle informazioni personali (PIPC), un’agenzia indipendente incaricata di proteggere i diritti e gli interessi delle persone in relazione alla privacy dei dati. Incoraggia inoltre l’uso appropriato ed efficace dei dati personali.
Come altre normative sulla protezione dei dati, come il GDPR, l’APPI si applica a tutte le aziende che offrono beni e servizi in Giappone, indipendentemente dalla loro reale ubicazione. Si tratta del cosiddetto ambito extraterritoriale .
La versione del 2003 della legge era applicabile solo a un’organizzazione con almeno 5.000 individui identificabili nel proprio database durante i sei mesi precedenti. Tuttavia, le recenti modifiche significano che la legge si applica a tutte le organizzazioni che elaborano informazioni personali per scopi commerciali, indipendentemente dal numero di individui.
Cosa c'è di nuovo nell'emendamento del 2020?
L’APPI modificato del 2020 non entrerà in vigore fino alla primavera del 2022, ma ciò non significa che le aziende non debbano fare i preparativi.
Ci sono quattro cambiamenti chiave di cui essere consapevoli:
1. Notifica di violazione dei dati
Le organizzazioni sono obbligate a informare sia la Commissione per la protezione delle informazioni personali (PIPC) che gli interessati di qualsiasi violazione dei dati che rischi di danneggiare i diritti e gli interessi degli interessati.
Secondo l’emendamento, ciò include:
- Violazioni dei dati che coinvolgono informazioni personali sensibili
- Violazioni dei dati con rischio di danni alla proprietà
- Violazioni dei dati probabilmente commesse per uso improprio, ad esempio un attacco informatico
- Violazioni dei dati che coinvolgono più di 1.000 interessati
2. Dati pseudonimizzati
In questo caso, le organizzazioni che gestiscono dati pseudonimizzati non dovranno rispettare determinati obblighi, come le richieste degli interessati di cessare l’utilizzo dei dati personali.
Per pseudonimizzare i dati, le informazioni personali non devono contenere:
- Descrizioni di individui specifici, ad esempio nome o età
- Codici identificativi individuali
- Descrizioni che possono causare danni alla proprietà
3. Fornitura di dati a terzi
In precedenza, l’interessato deve essere informato della fornitura di dati personali a terzi. Ora, ai sensi dell’APPI modificato, le organizzazioni devono confermare che un destinatario ha ricevuto il consenso dall’interessato prima del trasferimento.
Il consenso deve essere documentato, insieme alla data di fornitura, al nome e all’indirizzo del destinatario e alle categorie di informazioni fornite. Questi registri devono essere conservati per tre anni.
4. Trasferimenti internazionali
Prima di effettuare un trasferimento transfrontaliero a terzi al di fuori del Giappone, l’interessato deve essere informato. Le informazioni fornite devono includere:
- Nome del paese in cui i dati devono essere trasferiti
- Il sistema di protezione delle informazioni personali del paese di destinazione
- Misure di protezione dei dati che devono essere adottate dall’importatore
Quando un’organizzazione (l’esportatore dei dati) effettua un trasferimento transfrontaliero, deve:
- Effettuare una conferma periodica dello stato dei dati personali e dello stato dei sistemi che influenzano il trattamento dei dati da parte dell’importatore
- Valutare le misure di mitigazione nel caso in cui si verifichi un problema
- Valutare le misure da adottare per garantire una corretta gestione continua dei dati
Quali sono i diritti dei cittadini giapponesi ai sensi dell'APPI?
L’APPI sancisce diversi diritti dei cittadini in merito ai loro dati personali. Questi includono:
- Il diritto di richiedere a un’organizzazione di cessare l’uso o il trasferimento dei propri dati personali se l’organizzazione non ha più un motivo valido per utilizzare i dati, se si è verificata una violazione dei dati o se il trattamento di tali dati viola i diritti dell’interessato.
- Il diritto di accedere ai dati personali che un’organizzazione desidera eliminare entro sei mesi.
- Il diritto di richiedere l’accesso ai documenti relativi ai trasferimenti di dati a terzi
- Il diritto di richiedere a un’organizzazione la correzione, la revisione, la modifica o la cancellazione dei dati personali relativi all’interessato
- Il diritto di richiedere una copia di qualsiasi informazione personale relativa all’interessato.
Sanzioni ai sensi dell'APPI
Secondo l’APPI, gli interessati possono contattare la PIPC per informarli di una violazione. La PIPC contatterà quindi l’organizzazione e chiederà loro di rettificare la situazione. In caso contrario, si procederà ad azioni e penalità successive.
Attualmente, la PIPC può applicare sanzioni fino a 100.000.000 di yen giapponesi (907.715 dollari) o una punizione penale fino a 1 anno di carcere.
Inoltre, in base al diritto privato di azione, i cittadini giapponesi possono citare in giudizio le organizzazioni che violano i loro diritti sui dati.
Conclusione
Con un recente picco di criminalità informatica e una serie di violazioni dei dati di alto profilo, l’emendamento all’APPI allinea il Giappone ad altre normative sulla privacy dei dati in tutto il mondo. Ad esempio, casi come lo “scandalo Rikunabi”, in cui i dati personali di 7.893 studenti iscritti sono stati forniti alle aziende clienti senza il consenso degli studenti, non sono più consentiti.
Al contrario, le nuove linee guida rigorose penalizzano pesantemente la cattiva condotta nella gestione dei dati, creando una serie di regole rigide da seguire per le organizzazioni. Tali regole si applicano a qualsiasi organizzazione che gestisce i dati dei cittadini giapponesi, indipendentemente dalla loro posizione.
Si spera che ora tu sia a conoscenza dei nuovi requisiti se non avevi ancora familiarizzato con l’APPI 2020 modificato. La modifica richiede il consenso dell’utente finale per il trasferimento di dati personali a terzi.
Per ulteriori informazioni, consultare il sito web della PIPC.
Fonti:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/