APPI de Japón: Cumplimiento de la protección de la información personal

La Ley de Protección de Información Personal de Japón (APPI – 個人情報の保護に関する法律) es uno de los marcos de protección de datos más completos de Asia. Modificada significativamente en 2022 (a partir del 1 de abril de 2022) y sujeta a un ciclo de revisión obligatorio de tres años, APPI ha convergido progresivamente con los estándares globales de protección de datos, al tiempo que conserva enfoques regulatorios exclusivamente japoneses.

Las enmiendas de 2022 introdujeron el derecho a solicitar la eliminación, la divulgación obligatoria de información sobre transferencias transfronterizas, reglas de información procesada de forma seudónima y una aplicación mejorada con sanciones de hasta 100 millones de yenes (660 000 dólares estadounidenses) por infracciones corporativas. La Comisión de Protección de Información Personal (PPC) de Japón se ha vuelto cada vez más activa, emitiendo orientaciones, realizando investigaciones y presentando acciones coercitivas contra importantes empresas nacionales y extranjeras.

Conclusiones clave

• APPI se aplica a los operadores comerciales que manejan información personal en Japón; La aplicación extraterritorial cubre a los operadores extranjeros que recopilan datos de personas en Japón.
• Las reglas de manejo de información personal cubren la recopilación, el uso, el suministro de terceros y la gestión de seguridad.
• La información personal que requiere cuidados especiales (datos sensibles) requiere consentimiento previo explícito para su recopilación
• Las transferencias transfronterizas están restringidas: permitidas a terceros en países con protección equivalente o con consentimiento individual explícito y divulgación de información.
• Nuevas disposiciones de 2022: derecho a solicitar la eliminación/suspensión, notificación de exclusión obligatoria para el suministro de terceros mediante exclusión voluntaria, reglas de procesamiento seudónimos
• El PPC tiene amplios poderes de investigación y puede emitir órdenes de suspensión de actividades
• Japón y la UE tienen decisiones de adecuación mutua: las entidades que cumplen con APPI pueden realizar transferencias hacia/desde la UE según reglas simplificadas
• APPI se somete a una revisión obligatoria cada tres años; el próximo ciclo de revisión se alineará aún más con los estándares globales

---

Marco y alcance de APPI

Aplicación territorial

APPI se aplica a:

• Operadores comerciales en Japón que manejan información personal
• Operadores extranjeros que manejan información personal de personas en Japón en relación con el suministro de bienes o servicios (Artículo 180: aplicación extraterritorial agregada en las enmiendas de 2022)

La aplicación extraterritorial es importante: las empresas extranjeras con usuarios japoneses están ahora directamente sujetas a la APPI sin tener una entidad jurídica japonesa. La PPC puede emitir órdenes a operadores extranjeros y proporcionar información a autoridades extranjeras.

¿Quién es un "Operador Comercial de Manejo de Información Personal"?

Cualquier persona que utilice una base de datos de información personal con fines comerciales. Anteriormente, los operadores que manejaban datos de menos de 5000 personas estaban exentos; la enmienda de 2015 eliminó esta exención para pequeños operadores. Ahora están cubiertas todas las empresas que utilizan bases de datos de información personal con fines comerciales.

Categorías clave:

• Información personal (個人情報): información sobre una persona viva que puede identificarla por nombre, fecha de nacimiento u otra descripción; incluye identificadores únicos (Mi número, número de pasaporte, número de licencia de conducir, datos biométricos)
• Datos personales (個人データ): Información personal que comprende una base de datos
• Datos personales retenidos (保有個人データ): datos personales sobre los cuales el operador tiene autoridad para revelar, corregir, agregar, eliminar, detener el uso, eliminar o detener el suministro de terceros.

---

Obligaciones principales de APPI

Especificación de fines de uso

El artículo 17 exige que los operadores comerciales especifiquen los fines del uso de la información personal de la manera más específica posible. Al recopilar información personal, la finalidad debe ser:

• Divulgado públicamente con antelación (en la política de privacidad)
• O claramente indicado al individuo en el momento de la recogida.
• O si se recoge directamente del individuo por escrito, claramente indicado en el formulario

Limitación de finalidad: La información personal no debe utilizarse más allá de los fines especificados sin el consentimiento del individuo.

Restricciones de colección

La información personal debe recopilarse a través de medios justos y adecuados. Restricciones específicas:

• No se puede adquirir información personal mediante engaño u otros medios inapropiados
• Para la recogida directa por escrito, indique claramente el propósito de uso en el formulario.
• Uso dentro del propósito especificado; el cambio de propósito requiere notificación o consentimiento

Información personal que requiere cuidado especial (要配慮個人情報): la recopilación requiere consentimiento explícito previo. Esto incluye:

• carrera
• Credo (religión o creencias religiosas)
• Estatus social (distinciones formales en el registro familiar que podrían generar discriminación)
• Historia médica
• Antecedentes penales
• Condición de víctima de un delito
• Discapacidad física o mental
• Información médica sobre trastornos y lesiones.
• Resultados de exámenes de enfermedades genéticas.

Medidas de gestión de seguridad

El artículo 23 exige que los operadores comerciales adopten las medidas necesarias y apropiadas para la gestión segura de los datos personales a fin de evitar fugas, pérdidas o daños. Las directrices de PPC especifican cuatro categorías de medidas:

1. Medidas organizativas: Establecer políticas básicas; organizar sistemas de gestión; comprender el estado de manipulación; respondiendo a las fugas
2. Medidas de personal: Capacitación de los empleados; ejecutar acuerdos de confidencialidad
3. Medidas físicas: Gestionar el ingreso/salida a las áreas de tratamiento de datos personales; dispositivos de gestión; prevención de robo/pérdida
4. Medidas técnicas: Control de acceso; autenticación de acceso; medidas antivirus; monitoreo del sistema de información

Restricción al suministro de terceros

El artículo 27 restringe el suministro de datos personales a terceros sin el consentimiento previo del individuo. Excepciones:

• Requerido por ley
• Protección de la vida, el cuerpo o la propiedad humana cuando no se pueda obtener el consentimiento
• Mejorar la salud pública cuando no se puede obtener el consentimiento
• Cooperar con entidades gubernamentales nacionales o locales.
• Base de exclusión voluntaria: se permite la provisión por parte de terceros sin consentimiento si el operador notifica al PPC y brinda a las personas la oportunidad de optar por no participar (con importantes requisitos de divulgación).

Provisión por terceros a entidades del extranjero: Sujeto a requisitos adicionales (ver sección Transferencias Transfronterizas).

---

Derechos individuales

Las enmiendas de 2022 ampliaron significativamente los derechos individuales:

Manejo de quejas: Los operadores comerciales deben esforzarse por manejar de manera adecuada y rápida las quejas sobre el manejo de información personal. Los organismos de resolución de disputas de terceros certificados por el PPC pueden proporcionar una resolución alternativa.

Requisitos de respuesta: APPI no establece un período de respuesta de un día calendario específico (a diferencia de los 30 días del RGPD). Los operadores deben responder "sin demora": las pautas de PPC indican que las respuestas generalmente deben realizarse en un plazo máximo de 2 a 3 meses para solicitudes complejas.

---

Transferencias de datos transfronterizas

El artículo 28 restringe el suministro de datos personales al extranjero. La provisión de terceros a destinatarios en el extranjero requiere uno de:

1. Consentimiento individual: Consentimiento previo del individuo, luego de proporcionar información específica sobre el destino y sistema en el extranjero.
2. País con protección equivalente: Transferencia a un país designado por orden del gabinete de PPC como que tiene un nivel de protección comparable (actualmente: países de la UE/EEE bajo el acuerdo de adecuación Japón-UE)
3. Operador con protección equivalente: El destinatario extranjero ha implementado medidas de protección de datos equivalentes (documentadas mediante contrato, normas corporativas vinculantes u otros medios).

Divulgación de información requerida para el consentimiento: Para transferencias basadas en consentimiento, el operador debe proporcionar por adelantado al individuo:

• Nombre del país extranjero
• El sistema de protección de información personal en ese país.
• Las medidas adoptadas por el tercero para el tratamiento de información personal

La página de información de países del PPC proporciona información de referencia sobre sistemas de protección en otros países.

Adecuación Japón-UE: Japón y la UE tienen acuerdos de adecuación mutua: Japón tiene una decisión de adecuación de la Comisión de la UE y Japón reconoce que los estados miembros de la UE tienen una protección equivalente. Esto simplifica significativamente los flujos de datos entre Japón y la UE.

Procesamiento seudónimo para transferencias al extranjero: La información procesada seudónimamente se puede proporcionar a terceros en el extranjero con opción de exclusión voluntaria (en lugar de requerir consentimiento), sujeta a la notificación de PPC y a la oportunidad individual de exclusión voluntaria.

---

Información de procesamiento seudónima (仮名加工情報)

Las enmiendas de 2021 introdujeron información de procesamiento seudónima (仮名加工情報), una nueva categoría entre datos personales e información procesada de forma anónima. Requisitos:

Creación: Procesar información personal reemplazando información de identificación (nombre, fecha de nacimiento, direcciones) con códigos específicos u otras medidas que hagan imposible identificar al individuo sin otra información.

Usos: La información procesada con seudónimos se puede utilizar para análisis internos y fines de investigación sin consentimiento individual, lo que permite el análisis de datos y al mismo tiempo reduce el riesgo de privacidad.

Restricciones:

• No se puede proporcionar a terceros (excepto a operadores encomendados y dentro de grupos empresariales bajo condiciones específicas)
• No se puede hacer referencia cruzada con otra información para identificar a las personas.
• No se puede utilizar para contactar personas

Seguridad: Debe gestionarse de forma tan segura como los datos personales.

---

Información procesada de forma anónima (匿名加工情報)

Datos verdaderamente anonimizados que no pueden volver a identificarse ni siquiera con otra información. Requisitos:

• Siga los estándares de anonimización especificados por PPC (procesamiento irreversible que incluye: reemplazo de nombre/dirección, generalización de datos granulares, supresión de valores atípicos, eliminación de información de enlace)
• Publicar las categorías de información anonimizada creadas.
• Se puede proporcionar a terceros con publicación de categorías.
• Los destinatarios no pueden intentar volver a identificar la información.

---

Notificación de infracción (enmienda de 2022)

Las enmiendas de 2022 hicieron que la notificación de incumplimiento fuera obligatoria (anteriormente muy recomendada). Requisitos:

Notificación a PPC (Artículo 26): Se requiere cuando ocurre una fuga, pérdida o daño que pueda dañar los derechos e intereses individuales, incluyendo:

• Fuga de información personal que requiere cuidados especiales
• Fuga que pueda causar daños a la propiedad debido a un uso ilegal (información financiera/de cuenta)
• Fuga causada por un propósito indebido (información privilegiada maliciosa)
• Fuga que afecte a 1.000 o más personas

Cronología:

• Informe preliminar: entre 3 y 5 días hábiles después de tomar conocimiento
• Informe completo: dentro de los 30 días (60 días para infracciones internas maliciosas)

Notificación individual: Se requiere para los mismos eventos calificados; las personas deben ser notificadas sin demora.

Contenido de la notificación (para PPC y particulares):

• Resumen del incidente
• Tipos y número de interesados y datos personales afectados
• Causas y circunstancias
• Si existe riesgo de daño secundario
• Medidas adoptadas y previstas

---

Cumplimiento y sanciones de PPC

La Comisión de Protección de Información Personal (PPC) (個人情報保護委員会) es la autoridad independiente de protección de datos de Japón. Establecido en 2016, el PPC tiene amplios poderes de supervisión.

Poderes administrativos:

• Informes/solicitudes de investigación de empresarios (artículo 146)
• Inspecciones in situ
• Orientación y asesoramiento (Artículo 147)
• Recomendaciones (artículo 148)
• Órdenes (artículo 148, apartado 2): los operadores comerciales deben cumplir
• Publicación del incumplimiento (Artículo 148(3))

Sanciones:

• Violación de la orden PPC: hasta ¥100 millones multa corporativa + ¥1 millón para individuos
• No informar/informar falso en respuesta a la investigación de PPC: hasta ¥500,000
• Suministro ilegal de bases de datos de terceros: hasta ¥1 millón + ¥300.000 para particulares + prisión de hasta 1 año (penal)
• Uso indebido de información personal con fines de lucro ilegal: Sanción penal hasta 1 año de prisión

El PPC ha estado cada vez más activo; las acciones recientes incluyen investigaciones sobre importantes empresas japonesas, orientación sobre las obligaciones de los operadores comerciales en el extranjero y cooperación con DPA extranjeras.

---

Lista de verificación de cumplimiento de APPI

• Aplicabilidad de APPI confirmada (operaciones japonesas u operador extranjero con usuarios japoneses)
• Política de Privacidad publicada especificando todos los fines de uso
• Propósito de la recolección especificado claramente en cada punto de recolección
• Información personal que requiere cuidados especiales identificada: se obtuvo el consentimiento explícito previo
• Medidas de gestión de seguridad implementadas (organizativas, de personal, físicas, técnicas)
• Evaluación de la provisión de terceros: consentimiento o excepción documentada para cada intercambio
• [] Notificación de exclusión voluntaria presentada ante PPC si se utiliza la opción de exclusión voluntaria para la provisión de terceros
• Mecanismo de transferencia transfronteriza determinado (consentimiento con divulgación o protección equivalente)
• Se mantienen registros de provisión de terceros (para solicitudes de divulgación)
• Procedimientos de respuesta de derechos individuales documentados (divulgación, corrección, suspensión, supresión)
• Se establece un mecanismo de tramitación de quejas
• Procedimiento de notificación de incumplimiento documentado (3 a 5 días preliminares, 30 días completos)
• Procedimientos de tratamiento seudónimos/anónimos establecidos si se utilizan
• Se completó la capacitación de los empleados sobre las obligaciones de APPI
• Designación de operador extranjero confirmada si corresponde (notificación PPC)

---

Preguntas frecuentes

¿Se aplica APPI a mi empresa en el extranjero con usuarios japoneses?

Sí, desde las enmiendas de 2022. El artículo 180 de la APPI aplica la APPI a empresas extranjeras que manejan información personal de personas en Japón en relación con el suministro de bienes o servicios. Esto incluye cualquier sitio web, aplicación o servicio extranjero que recopile datos de usuarios japoneses. Los operadores extranjeros deben cumplir con todas las disposiciones APPI aplicables y están sujetos a la supervisión de PPC. El PPC puede emitir órdenes a operadores extranjeros y compartir información con sus homólogos extranjeros de Japón en virtud de acuerdos de asistencia mutua.

¿Qué es "información personal que requiere cuidado especial" y por qué es importante?

La información personal que requiere cuidado especial (要配慮個人情報) es el equivalente de APPI a datos confidenciales: información cuya recopilación podría dar lugar a discriminación o prejuicios injustos. Incluye raza, credo, estatus social, historial médico, antecedentes penales, estatus de discapacidad y estatus de víctima de un delito. La obligación clave: debe obtener consentimiento explícito previo antes de recopilar cualquiera de estas categorías, incluso si de otro modo tendría motivos para recopilarlas. El consentimiento implícito, la base de exclusión voluntaria y otros estándares de consentimiento inferiores no se aplican a la información que requiere atención especial.

¿Cómo funcionan los flujos de datos entre Japón y la UE según el acuerdo de adecuación mutua?

Japón y la UE establecieron la adecuación mutua en 2019, un acuerdo bilateral único. La Comisión Europea adoptó una decisión de adecuación para Japón, y Japón modificó la APPI para incluir datos personales de la UE dentro de su marco existente (con reglas complementarias). Esto significa: las transferencias UE→Japón están permitidas sin mecanismos adicionales (según la decisión de adecuación de la CE); Las transferencias entre Japón y la UE están permitidas, ya que Japón trata a los países de la UE como destinos de protección equivalente. Ambas direcciones aún requieren el cumplimiento de todas las obligaciones de APPI (para Japón→UE) y todas las obligaciones del RGPD de la UE (para UE→Japón). Las normas complementarias para los datos personales de la UE en Japón incluyen protecciones adicionales que coinciden con los requisitos del RGPD.

¿Qué registros requiere APPI para el suministro de terceros?

APPI exige que los operadores comerciales creen registros cuando proporcionan datos personales a terceros y cuando reciben datos personales de terceros. Los registros de suministro deben incluir: fecha de suministro, nombre y otros detalles del tercero, categorías de datos personales proporcionados, circunstancias de suministro (base legal) e información sobre el individuo si se adquiere de un tercero. Estos registros deben conservarse durante un período específico (3 años desde su creación para la mayoría, 1 año para los casos en los que los registros se pueden compartir con personas que lo soliciten). Las personas pueden solicitar la divulgación de estos registros de provisión de terceros.

¿Cuándo se requiere una EIPD o una evaluación del impacto en la privacidad según la APPI?

APPI no exige específicamente evaluaciones de impacto de la protección de datos (DPIA) como lo hace el RGPD de la UE. Sin embargo, el PPC ha emitido directrices que alientan las PIA voluntarias para actividades de procesamiento de alto riesgo, en particular: nuevos sistemas o servicios que involucran la recopilación de datos personales a gran escala, proyectos de transferencia transfronteriza, nuevos usos de datos confidenciales y elaboración de perfiles o toma de decisiones automatizada. El PPC considera que la realización de PIA es una mejor práctica y señala la responsabilidad de la organización. Para las empresas sujetas tanto a APPI como a GDPR, los requisitos obligatorios de DPIA del GDPR se aplicarán a las actividades de procesamiento relacionadas con la UE.

---

Próximos pasos

El APPI de Japón continúa evolucionando a lo largo de su ciclo de revisión obligatorio de tres años; se espera que la revisión de 2025 alinee aún más el APPI con los estándares internacionales. La creación de un programa de cumplimiento que responda a las actualizaciones continuas y, al mismo tiempo, cumpla con las obligaciones actuales, requiere tanto experiencia técnica como conciencia jurídica.

El equipo de ECOSIRE ayuda a las empresas con su entrada y expansión en el mercado japonés a implementar prácticas de datos compatibles con APPI, políticas de privacidad para usuarios japoneses y mecanismos de transferencia de datos transfronterizos.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. APPI está sujeta a revisiones y modificaciones periódicas. Consulte a un asesor legal japonés calificado para obtener asesoramiento específico para su organización.