¿Qué es la Ley de Protección de Datos Personales (Kojin Joho Hogo Ho)?
La ley de Protección de Datos Personales se promulgó en el año 2003. La ley aclara las responsabilidades de las autoridades nacionales y locales en materia de tratamiento de datos personales y establece las obligaciones que deben cumplir los negocios que obtienen y usan datos personales. La ley se promulgó porque el uso de la información personal se ha ampliado considerablemente debido al desarrollo de digital, y se ha hecho necesario estipular el tratamiento adecuado de la información personal.
Las empresas pueden comercializar adecuadamente sus productos y servicios a clientes, usuarios y otras personas que los necesiten, usando las informaciones personales. En cambio, si se filtra la información personal almacenada por una empresa, esta puede perjudicar a la persona. Por ello, la Ley de Protección de Datos Personales establece normas para el tratamiento de datos personales con el fin de garantizar el uso eficaz de los datos personales y al mismo tiempo evitar filtraciones y otros incidentes.
¿Qué información constituye «datos personales» en la Ley?
En la Ley de Protección de Datos Personales, las «datos personales» se definen como la información relativa a un individuo vivo que puede identificarse como un individuo concreto (nombre, dirección, fecha de nacimiento, etc.) y que puede identificarse fácilmente como un individuo concreto vinculándola a otra información, o contiene un código de identificación personal. Las informaciones que contienen un código de identificación personal son los datos de reconocimiento facial, los datos de reconocimiento de huellas dactilares, el iris, la huella vocal, el patrón de marcha, las venas de los dedos y las huellas palmares, el número de pasaporte, el número de pensión básica, el número de licencia de conducir, el código de registro de residente, my number y el número de la aseguradora, etc. Esos datos siempre son datos personales de esta Ley.
Los datos personales de un extranjero residente en un país extranjero también son datos personales según la Ley de Protección de Datos Personales si los tiene una empresa u organismo japonés.
Los datos personales se limitan a la información sobre personas vivas, por lo que la información sobre una persona fallecida no constituye «datos personales» en la Ley de Protección de Datos Personales.
La información sobre la propia empresa u otra organización no son datos personales y, por tanto, no están sujetos a la protección de esta ley. Sin embargo, la información sobre un funcionario de una empresa sí es un dato personal.
Normas básicas para el tratamiento de datos personales:
Los negocios que usan datos personales tienen obligación de cumplir las siguientes normas:
(1) Cuando adquieren datos personales
– Especifique los fines concretos para los que se utilizarán dichos datos.
- Los fines concretos del uso se hacen públicos o se notifican previamente a la persona.
- En principio, los datos se utilizarán dentro del ámbito de los fines de uso especificados, y se requerirá el consentimiento de la persona para cualquier uso fuera de los fines de uso especificados.
(2) Cuando almacenan y gestionan datos personales
Claro que deben tomarse las medidas necesarias para garantizar que los datos personales se gestionan de forma segura, de modo que no se produzcan filtraciones. Por ejemplo, si se almacenan en papel, hay que guardarlos en un lugar cerrado con llave, y si se almacenan en datos en un ordenador, hay que establecer contraseñas o utilizar programas de seguridad.
(3) Cuando se facilitan datos personales a otros
En principio, debe obtenerse previamente el consentimiento de la persona misma para facilitarse datos personales a otros. Sin embargo, hay casos excepcionales en los que se pueden facilitar datos personales a terceros sin el consentimiento de la persona. Ejemplos de estos casos son cuando lo exige la ley (cuando se recibe una consulta de la policía, un tribunal, la Agencia Tributaria, etc.) o cuando es necesario para proteger la vida o el cuerpo de una persona y se requiere una emergencia.
La Ley de Protección de Datos Personales tampoco se aplica cuando los datos personales son utilizados por periódicos y medios de comunicación para informar, por personas que escriben para escribirlos, por universidades e instituciones de investigación para investigar, por organizaciones religiosas para actividades religiosas y por organizaciones políticas para actividades políticas.
Datos personales que requieren consideración especial:
Algunos datos personales requieren una consideración especial en su tratamiento para garantizar que la persona no sufra discriminación injustificada, prejuicios u otras desventajas si se divulgan a terceros. Esos datos deben tratarse con especial cuidado como «datos personales que requieren consideración especial». Se requiere el consentimiento de la persona para obtener los datos personales que requieren consideración. Por ejemplo, los siguientes tipos de información personal son datos personales que requieren consideración especial; Datos personales que incluyen raza, credo, condición social, historial médico, antecedentes penales, el hecho de que la persona haya sido perjudicada por un delito, así como el hecho de que la persona tenga una discapacidad ya sea física, intelectual o mental, los resultados de exámenes médicos y otras pruebas realizadas por un médico, etc.,
Sanciones por infringir la Ley de Protección de Datos Personales:
Si se descubre que una empresa incumple la Ley de Protección de Datos Personales, se tomarán medidas paso a paso. En primer lugar, hay informes e inspecciones in situ a cargo de una organización gubernamental llamada «Comisión de Protección de Datos Personales». La Comisión de Protección de Datos Personales también ofrece orientación y asesoramiento. Si la situación empeora, se emitirá una orden. El incumplimiento de esas órdenes puede acarrear penas de cárcel o multas.
¿Qué negocios necesitan cumplir esta ley?
Todas las empresas que manejan datos personales están sujetas a la regulación de esta ley. Esto significa que incluso un comerciante individual que solo maneja los datos personales de unas pocas personas está sujeto a la regulación de esta Ley. Dado que la mayoría de las empresas almacenan como datos información sobre clientes o empleados, cabe afirmar que, en definitiva, casi todas las empresas están sujetas al reglamento de esta ley.
Por Abogado Yohei Oda E-mail: oday@hp-lf.jp Tel: 03-5422-6713