Ley japonesa de protección de datos personales (APPI)

La Ley de Protección de Datos Personales de Japón (APPI, por sus siglas en inglés) es una ley japonesa de protección de datos que se modificó recientemente en 2020. Aprobada originalmente en 2003, una de las principales razones de la actual modificación de la APPI fue la serie de violaciones de datos muy perjudiciales que se han producido en el país en los últimos años. Parte de la razón de este aumento de la ciberdelincuencia fue la actitud de “no intervención” que el gobierno japonés ha adoptado en el pasado en relación con las medidas de protección de datos y ciberseguridad del país. Para ilustrar este punto, se ha citado a The Economist diciendo que “Japón va por detrás de otras economías avanzadas” en lo que respecta a la ciberseguridad. Muchas PYME japonesas tienen una seguridad mínima, y muchas más utilizan tecnología heredada vulnerable”. “Casi 14 millones de personas seguían utilizando Windows 7 cuando Microsoft dejó de proporcionar parches de seguridad en enero de 2020”.

¿Cuál es el ámbito de aplicación de la APPI?

En principio, el APPI se aplica a cualquier entidad u organización empresarial que maneje o procese información personal de ciudadanos japoneses, independientemente de dónde se encuentre físicamente dicha entidad u organización. Con este fin, el APPI también se aplica a entidades y organizaciones empresariales no japonesas, permitiendo a dichas empresas u organizaciones tanto adquirir como procesar la información personal de ciudadanos japoneses en otro país. Sin embargo, existen algunas excepciones a la jurisdicción de la APPI, ya que algunas disposiciones de la ley sólo se aplican a las empresas y organizaciones que operan dentro de Japón. Además, hay tipos de empresas y particulares japoneses que también están exentos del APPI, como la prensa, los partidos políticos, los grupos religiosos y los escritores y académicos profesionales.

¿Cuáles son los requisitos de la APPI para las empresas y organizaciones?

Al igual que muchas otras leyes de privacidad de todo el mundo, como el Reglamento General de Protección de Datos de la UE o GDPR y el Derecho de Datos del Consumidor de Australia o CDR, que definen el tratamiento de información o datos personales en el contexto del término “controlador de datos”, la APPI utiliza el término “controlador de información personal” o PIC para abreviar. Como tal, la APPI define PIC como “un operador comercial que utiliza una base de datos de información personal para su negocio y es un concepto similar a un controlador de datos”. El APPI impone varios requisitos a los CFP que recogen información personal de ciudadanos japoneses.

Según la APPI, por información personal se entiende “cualquier información a partir de la cual se pueda deducir la identidad de un individuo vivo. Dicha información incluye marcadores biométricos y números de identificación oficiales”. Además, el APPI también protege la “información sensible” de los ciudadanos japoneses, y define la información sensible como “raza, religión, antecedentes penales e historial médico”. Por el contrario, la información seudonimizada no está cubierta por el APPI, ya que dicha información se limita al uso interno de empresas y organizaciones y, como tal, no puede compartirse con terceros.

En términos de cumplimiento, las empresas y organizaciones tanto dentro como fuera de Japón deben asegurarse de que se adhieren a las siguientes medidas al procesar tanto la información personal como la información personal sensible de los ciudadanos japoneses:

• Recogida y uso de información personal – De acuerdo con la APPI, los PIC tienen prohibido recoger información personal por medios ilícitos o fraudulentos, deben notificar a los interesados la utilización prevista de su información personal en el momento de la recogida, a menos que esta información ya se haya puesto a disposición pública de los interesados de forma fácilmente accesible, y obtener el consentimiento de los interesados antes de recoger su información personal.
• Anuncios públicos– Los CIP son responsables de facilitar su nombre a los interesados, la finalidad de la utilización de toda la información personal que se conserve, el procedimiento que pueden seguir los interesados para corregir su información personal y la forma en que los responsables de los datos pueden presentar una reclamación contra un CIP que trate indebidamente su información personal.
• Uso de la información personal– Un CFP sólo está autorizado a utilizar la información personal de un interesado en la medida necesaria para alcanzar los fines declarados en el momento en que se recogió dicha información. Los CFP también tienen prohibido utilizar la información personal de un interesado de manera que pueda facilitar actos potencialmente ilegales o inapropiados.
• Gestión y seguridad de los datos personales– Los CFP son responsables de garantizar que la información personal que obra en su poder es exacta y está actualizada de acuerdo con la finalidad para la que fue recopilada, de tomar las medidas de seguridad adecuadas para impedir el acceso no autorizado o la pérdida de dichos datos, de ejercer la supervisión adecuada y necesaria tanto sobre los empleados que tienen acceso a la información personal y la manejan, como sobre cualquier otro tercero asociado que también pueda tener acceso a dicha información o vaya a manejarla. Entre los ejemplos concretos que sugieren las disposiciones de la APPI figuran el establecimiento de principios básicos de protección de datos, la fijación de controles y normas internas, el desarrollo de medidas de seguridad físicas, tecnológicas y de personal, y la designación de un responsable de protección de datos o RPD que supervise esta infraestructura de seguridad.

¿Cuáles son los derechos de los ciudadanos japoneses en virtud del APPI?

El APPI otorga a los ciudadanos japoneses diversos derechos en relación con la información personal que facilitan a los CFP. Estos derechos incluyen:

• El derecho a solicitar una copia de cualquier información personal que un CFP conserve en relación con un interesado.
• Derecho a solicitar que un CFP corrija, revise, modifique o suprima la información personal que conserve en relación con un interesado.
• Derecho a solicitar acceso a los registros de un CFP en relación con transferencias de datos a terceros.
• El derecho a acceder a la información personal que un CFP tenga previsto suprimir en un plazo de seis meses. Con las versiones anteriores de la APPI, la información personal que se preveía borrar en ese plazo de seis meses quedaba exenta de la ley.
• El derecho a solicitar que una CFP cese el uso o la transferencia de la información personal de un interesado si la CFP en cuestión ya no tiene uso para dicha información de acuerdo con la finalidad para la que fue recogida, se ha producido una violación de datos, o se determina que la forma en que una CFP está tratando la información personal de un interesado tiene probabilidades de dar lugar a la violación de los derechos de dicho interesado.

¿Cuáles son las sanciones por infringir la APPI?

Si bien el APPI ya imponía multas y sanciones penales a los CFP que infringían la ley, la modificación del APPI de 2020 ha endurecido estas sanciones. La Comisión de Protección de la Información Personal (PIPC, por sus siglas en inglés) supervisa y hace cumplir la APPI, y los CFP que incumplan la ley se enfrentan a multas de hasta 100.000.000 de yenes japoneses (907.715 dólares), así como a una sanción penal de hasta un año de prisión. Además, la ley también concede a los ciudadanos japoneses el derecho de acción privada para interponer demandas contra los CFP que violen sus derechos.

En los últimos años, Japón ha experimentado un aumento de la ciberdelincuencia y las violaciones de datos, por lo que la mejora y modernización de los derechos de protección de datos de los ciudadanos era un avance muy necesario en su ámbito jurídico. Con este fin, Japón se ha sumado a la lista de multitud de países que han modificado leyes anteriores sobre privacidad de datos o han aprobado leyes nuevas ante un nuevo panorama de intercambio de información nunca visto en la historia. Aunque en generaciones anteriores podía ser aceptable una legislación poco estricta en materia de seguridad de los datos, el auge de la comunicación en línea y, a su vez, del comercio, ha hecho necesarias leyes como la APPI de Japón en todo el mundo.