Japan APPI: Conformidade com proteção de informações pessoais

A Lei de Proteção de Informações Pessoais do Japão (APPI — 個人情報の保護に関する法律) é uma das estruturas de proteção de dados mais abrangentes da Ásia. Significativamente alterada em 2022 (em vigor a partir de 1 de abril de 2022) e sujeita a um ciclo de revisão obrigatório de três anos, a APPI convergiu progressivamente com os padrões globais de proteção de dados, mantendo ao mesmo tempo abordagens regulatórias exclusivamente japonesas.

As alterações de 2022 introduziram o direito de solicitar exclusão, divulgação obrigatória de informações de transferência transfronteiriça, regras de informações processadas sob pseudônimo e aplicação aprimorada com penalidades de até ¥ 100 milhões (US$ 660.000) para violações corporativas. A Comissão de Proteção de Informações Pessoais (PPC) do Japão tornou-se cada vez mais ativa, emitindo orientações, conduzindo investigações e apresentando ações coercivas contra grandes empresas nacionais e estrangeiras.

Principais conclusões

• A APPI se aplica a operadores comerciais que lidam com informações pessoais no Japão; aplicação extraterritorial abrange operadores estrangeiros que coletam dados de pessoas no Japão
• As regras de tratamento de informações pessoais abrangem coleta, uso, fornecimento de terceiros e gerenciamento de segurança
• Informações pessoais que requerem cuidados especiais (dados sensíveis) requerem consentimento prévio explícito para coleta
• As transferências transfronteiriças são restritas — permitidas a terceiros em países com proteção equivalente, ou com consentimento individual explícito e divulgação de informações
• Novas disposições de 2022: direito de solicitar exclusão/suspensão, notificação obrigatória de opt-out para fornecimento de terceiros por opt-out, regras de processamento de pseudônimos
• O PPC tem amplos poderes de investigação e pode emitir ordens de suspensão de negócios
• O Japão e a UE têm decisões de adequação mútua — entidades em conformidade com a APPI podem transferir de/para a UE ao abrigo de regras simplificadas
• A APPI passa por revisão obrigatória a cada três anos — o próximo ciclo de revisão se alinhará ainda mais com os padrões globais

---

Estrutura e escopo da APPI

Aplicação Territorial

APPI se aplica a:

• Operadores comerciais no Japão lidando com informações pessoais
• Operadores estrangeiros que tratam informações pessoais de pessoas no Japão em conexão com o fornecimento de bens ou serviços (Artigo 180 — aplicação extraterritorial adicionada nas alterações de 2022)

A aplicação extraterritorial é significativa: as empresas estrangeiras com utilizadores japoneses estão agora diretamente sujeitas à APPI sem terem uma entidade jurídica japonesa. O PPC pode emitir ordens a operadores estrangeiros e fornecer informações a autoridades estrangeiras.

Quem é um "Operador Comercial de Tratamento de Informações Pessoais"?

Qualquer pessoa que utilize um banco de dados de informações pessoais para fins comerciais. Anteriormente, os operadores que lidavam com dados de menos de 5.000 indivíduos estavam isentos – a alteração de 2015 eliminou esta isenção para pequenos operadores. Todas as empresas que utilizam bases de dados de informações pessoais para fins comerciais estão agora abrangidas.

Categorias principais:

• Informações pessoais (個人情報): Informações sobre um indivíduo vivo que possa identificá-lo por nome, data de nascimento ou outra descrição; inclui identificadores exclusivos (meu número, número do passaporte, número da carteira de motorista, dados biométricos)
• Dados pessoais (個人データ): Informações pessoais que compõem um banco de dados
• Dados pessoais retidos (保有個人データ): Dados pessoais sobre os quais o operador tem autoridade para divulgar, corrigir, adicionar, excluir, interromper o uso, eliminar ou interromper o fornecimento de terceiros

---

Obrigações principais da APPI

Especificação de finalidades de uso

O artigo 17.º exige que os operadores comerciais especifiquem as finalidades da utilização das informações pessoais da forma mais específica possível. Ao coletar informações pessoais, a finalidade deve ser:

• Divulgado publicamente com antecedência (na política de privacidade)
• Ou claramente indicado ao indivíduo na coleta
• Ou se coletado diretamente do indivíduo por escrito, claramente indicado no formulário

Limitação de finalidade: As informações pessoais não devem ser usadas além das finalidades especificadas sem o consentimento do indivíduo.

Restrições de coleta

As informações pessoais devem ser coletadas por meios justos e adequados. Restrições específicas:

• Não é possível adquirir informações pessoais por engano ou outros meios impróprios
• Para coleta direta por escrito, indique claramente a finalidade do uso no formulário
• Utilização dentro da finalidade especificada; mudança de propósito requer notificação ou consentimento

Informações pessoais que requerem cuidados especiais (要配慮個人情報): A coleta requer consentimento prévio explícito. Isso inclui:

• Corrida
• Credo (religião ou crenças religiosas)
• Estatuto social (distinções formais no registo familiar que podem levar à discriminação)
• História médica
• Registo criminal
• Situação como vítima de um crime
• Deficiência física ou mental
• Informações médicas sobre distúrbios e lesões
• Resultados de exames para doenças genéticas

Medidas de gerenciamento de segurança

O artigo 23.º exige que os operadores empresariais tomem as medidas necessárias e adequadas para a gestão segura dos dados pessoais, a fim de evitar fugas, perdas ou danos. As diretrizes do PPC especificam quatro categorias de medidas:

1. Medidas organizacionais: Estabelecer políticas básicas; organizar sistemas de gestão; compreender o status de manuseio; respondendo ao vazamento
2. Medidas de pessoal: Treinamento de funcionários; execução de acordos de confidencialidade
3. Medidas físicas: Gerenciamento de entrada/saída das áreas de tratamento de dados pessoais; gerenciamento de dispositivos; evitando roubo/perda
4. Medidas técnicas: Controle de acesso; autenticação de acesso; medidas antivírus; monitoramento do sistema de informação

Restrição ao fornecimento de terceiros

O artigo 27.º restringe o fornecimento de dados pessoais a terceiros sem o consentimento prévio do indivíduo. Exceções:

• Exigido por lei
• Proteção da vida humana, corpo ou propriedade onde o consentimento não pode ser obtido
• Melhorar a saúde pública onde o consentimento não pode ser obtido
• Cooperar com entidades governamentais nacionais ou locais
• Base de exclusão: o fornecimento de terceiros sem consentimento é permitido se o operador notificar o PPC e der aos indivíduos a oportunidade de cancelar (com requisitos de divulgação significativos)

Fornecimento de terceiros para entidades no exterior: Sujeito a requisitos adicionais (consulte a seção Transferências transfronteiriças).

---

Direitos Individuais

As alterações de 2022 expandiram significativamente os direitos individuais:

Tratamento de reclamações: Os operadores comerciais devem se esforçar para lidar de forma adequada e imediata com reclamações sobre o tratamento de informações pessoais. Organismos terceirizados de resolução de disputas certificados pelo PPC podem fornecer soluções alternativas.

Requisitos de resposta: A APPI não define um período de resposta específico em dias corridos (ao contrário dos 30 dias do GDPR). Os operadores devem responder “sem demora” – as diretrizes do PPC indicam que as respostas geralmente devem ocorrer dentro de 2 a 3 meses, no máximo, para solicitações complexas.

---

Transferências de dados transfronteiriças

O Artigo 28 restringe o fornecimento de dados pessoais no exterior. O fornecimento de terceiros para destinatários estrangeiros exige um dos seguintes:

1. Consentimento individual: Consentimento prévio do indivíduo, após fornecer informações específicas sobre o destino e sistema no exterior
2. País com proteção equivalente: Transferência para um país designado por ordem ministerial PPC como tendo um nível de proteção comparável (atualmente: países da UE/EEE sob o acordo de adequação Japão-UE)
3. Operador com proteção equivalente: O destinatário estrangeiro implementou medidas de proteção de dados equivalentes (documentadas por meio de contrato, regras corporativas vinculativas ou outros meios)

Divulgação de informações obrigatórias para consentimento: Para transferências baseadas em consentimento, o operador deve fornecer antecipadamente ao indivíduo:

• Nome do país estrangeiro
• O sistema de proteção de informações pessoais naquele país
• As medidas tomadas pelo terceiro para o tratamento de informações pessoais

A página de informações do país PPC fornece informações de referência sobre sistemas de proteção em outros países.

Adequação Japão-UE: O Japão e a UE têm acordos de adequação mútua — o Japão tem uma decisão de adequação da Comissão da UE e o Japão reconhece os estados membros da UE como tendo proteção equivalente. Isto simplifica significativamente os fluxos de dados do Japão↔UE.

Processamento de pseudônimos para transferências internacionais: informações processadas de forma pseudônima podem ser fornecidas a terceiros no exterior com base na opção de exclusão (em vez de exigir consentimento), sujeitas a notificação PPC e oportunidade individual de exclusão.

---

Informações de processamento de pseudônimos (仮名加工情報)

As alterações de 2021 introduziram informações de processamento pseudônimo (仮名加工情報) – uma nova categoria entre dados pessoais e informações processadas anonimamente. Requisitos:

Criação: Processar informações pessoais substituindo informações identificativas (nome, data de nascimento, endereços) por códigos específicos ou outras medidas que impossibilitem a identificação do indivíduo sem outras informações.

Usos: informações processadas sob pseudônimo podem ser usadas para análise interna e fins de pesquisa sem consentimento individual, permitindo a análise de dados e reduzindo o risco de privacidade.

Restrições:

• Não pode ser fornecido a terceiros (exceto a operadores confiados e dentro de grupos empresariais sob condições específicas)
• Não pode ser cruzado com outras informações para identificar indivíduos
• Não pode ser usado para entrar em contato com indivíduos

Segurança: deve ser gerenciado com a mesma segurança que os dados pessoais.

---

Informações processadas anonimamente (匿名加工情報)

Dados verdadeiramente anonimizados que não podem ser reidentificados mesmo com outras informações. Requisitos:

• Seguir os padrões de anonimato especificados pelo PPC (processamento irreversível, incluindo: substituição de nome/endereço, generalização de dados granulares, supressão de valores discrepantes, exclusão de informações de ligação)
• Publicar as categorias de informações anonimizadas criadas
• Pode ser fornecido a terceiros com publicação de categorias
• Os destinatários não podem tentar reidentificar as informações

---

Notificação de violação (alteração de 2022)

As alterações de 2022 tornaram a notificação de violação obrigatória (anteriormente fortemente recomendada). Requisitos:

Notificação ao PPC (Artigo 26): Obrigatório quando ocorre um vazamento, perda ou dano que possa prejudicar direitos e interesses individuais, incluindo:

• Vazamento envolvendo informações pessoais que requerem cuidados especiais
• Vazamento que pode causar danos materiais por uso ilegal (informações financeiras/de conta)
• Vazamento causado por propósito impróprio (insider malicioso)
• Vazamento afetando 1.000 ou mais indivíduos

Cronograma:

• Relatório preliminar: dentro de 3 a 5 dias úteis após tomar conhecimento
• Relatório completo: dentro de 30 dias (60 dias para violações internas maliciosas)

Notificação individual: necessária para os mesmos eventos de qualificação — os indivíduos devem ser notificados sem demora.

Conteúdo de notificação (para PPC e indivíduos):

• Visão geral do incidente
• Tipos e número de titulares de dados e dados pessoais afetados
• Causas e circunstâncias
• Se há risco de danos secundários
• Medidas tomadas e planejadas

---

Aplicação e penalidades de PPC

A Comissão de Proteção de Informações Pessoais (PPC) (個人情報保護委員会) é a autoridade independente de proteção de dados do Japão. Criado em 2016, o PPC dispõe de amplos poderes de supervisão.

Poderes administrativos:

• Relatórios/pedidos de investigação de operadores empresariais (artigo 146.º)
• Inspeções no local
• Orientação e aconselhamento (artigo 147.º)
• Recomendações (artigo 148.º)
• Ordens (artigo 148.º, n.º 2) — os operadores comerciais devem cumprir
• Publicação de incumprimento (artigo 148.º, n.º 3)

Penalidades:

• Violação da ordem PPC: multa corporativa de até ¥100 milhões + ¥1 milhão para pessoas físicas
• Falha em reportar/relatório falso em resposta à investigação PPC: Até ¥500.000
• Fornecimento ilegal de banco de dados de terceiros: Até ¥1 milhão + ¥300.000 para pessoas físicas + prisão até 1 ano (criminal)
• Uso indevido de informações pessoais para lucro ilegal: Pena criminal até 1 ano de prisão

O PPC tem estado cada vez mais activo – as acções recentes incluem investigações sobre grandes empresas japonesas, orientações sobre as obrigações dos operadores comerciais estrangeiros e cooperação com APD estrangeiras.

---

Lista de verificação de conformidade da APPI

• [] Aplicabilidade da APPI confirmada (operações japonesas ou operadora no exterior com usuários japoneses)
• Política de Privacidade publicada especificando todas as finalidades de uso
• [] Finalidade da coleta especificada claramente em cada ponto de coleta
• [] Informações pessoais que requerem cuidados especiais identificadas - consentimento prévio explícito obtido
• Medidas de gestão de segurança implementadas (organizacional, pessoal, física, técnica)
• Avaliação de fornecimento de terceiros: consentimento ou exceção documentada para cada compartilhamento
• [] Notificação de cancelamento arquivada junto ao PPC se estiver usando a base de cancelamento para fornecimento de terceiros
• Mecanismo de transferência transfronteiriça determinado (consentimento com divulgação ou proteção equivalente)
• Registros de fornecimento de terceiros mantidos (para solicitações de divulgação)
• [] Procedimentos de resposta de direitos individuais documentados (divulgação, correção, suspensão, apagamento)
• [] Mecanismo de tratamento de reclamações estabelecido
• [] Procedimento de notificação de violação documentado (3 a 5 dias preliminares, 30 dias completos)
• [] Procedimentos de processamento de pseudônimos/anônimos estabelecidos, se usados
• Treinamento de funcionários sobre obrigações APPI concluído
• Designação de operador estrangeiro confirmada, se aplicável (notificação PPC)

---

Perguntas frequentes

A APPI se aplica à minha empresa no exterior com usuários japoneses?

Sim, desde as alterações de 2022. O Artigo 180 da APPI aplica a APPI a empresas estrangeiras que lidam com informações pessoais de pessoas no Japão em conexão com o fornecimento de bens ou serviços. Isso inclui qualquer site, aplicativo ou serviço estrangeiro que colete dados de usuários japoneses. Os operadores estrangeiros devem cumprir todas as disposições aplicáveis ​​da APPI e estão sujeitos à supervisão do PPC. O PPC pode emitir ordens para operadores estrangeiros e compartilhar informações com os homólogos estrangeiros do Japão sob acordos de assistência mútua.

O que são "informações pessoais que requerem cuidados especiais" e por que isso é importante?

Informações pessoais que exigem cuidados especiais (要配慮個人情報) são o equivalente da APPI a dados confidenciais – informações cuja coleta pode levar a discriminação ou preconceito injusto. Inclui raça, credo, status social, histórico médico, antecedentes criminais, status de deficiência e status de vítima de crime. A principal obrigação: você deve obter consentimento prévio e explícito antes de coletar qualquer uma dessas categorias, mesmo que de outra forma você tenha motivos para coletá-las. Consentimento implícito, base de exclusão e outros padrões de consentimento inferiores não se aplicam a informações que requerem cuidados especiais.

Como funcionam os fluxos de dados Japão-UE no âmbito do acordo de adequação mútua?

O Japão e a UE estabeleceram a adequação mútua em 2019 — um acordo bilateral único. A Comissão Europeia adotou uma decisão de adequação para o Japão, e o Japão alterou a APPI para incluir dados pessoais da UE no seu quadro existente (com regras complementares). Isto significa: as transferências UE-Japão são permitidas sem mecanismos adicionais (ao abrigo da decisão de adequação da CE); As transferências Japão-UE são permitidas, pois o Japão trata os países da UE como destinos de proteção equivalentes. Ambas as direções ainda exigem o cumprimento de todas as obrigações da APPI (para Japão → UE) e de todas as obrigações do GDPR da UE (para UE → Japão). As regras complementares para dados pessoais da UE no Japão incluem proteções adicionais que correspondem aos requisitos do GDPR.

Quais registros a APPI exige para fornecimento a terceiros?

A APPI exige que os operadores comerciais criem registos quando fornecem dados pessoais a terceiros e quando recebem dados pessoais de terceiros. Os registros do fornecimento devem incluir: data do fornecimento, nome e outros detalhes do terceiro, categorias de dados pessoais fornecidos, circunstâncias do fornecimento (base legal) e informações sobre o indivíduo, se adquiridas de terceiros. Esses registros devem ser retidos por um período específico (3 anos a partir da criação para a maioria, 1 ano para os casos em que os registros podem ser compartilhados com indivíduos mediante solicitação). Os indivíduos podem solicitar a divulgação desses registros de fornecimento de terceiros.

Quando uma DPIA ou uma avaliação de impacto na privacidade é exigida pela APPI?

A APPI não exige especificamente Avaliações de Impacto na Proteção de Dados (DPIAs), como faz o GDPR da UE. No entanto, a PPC emitiu directrizes encorajando AIP voluntárias para actividades de processamento de alto risco, particularmente: novos sistemas ou serviços que envolvam recolha de dados pessoais em grande escala, projectos de transferência transfronteiriça, novas utilizações de dados sensíveis e criação de perfis ou tomada de decisão automatizada. A realização de PIAs é considerada a melhor prática pelo PPC e sinaliza a responsabilidade organizacional. Para empresas sujeitas à APPI e ao GDPR, os requisitos obrigatórios de DPIA do GDPR serão aplicados às atividades de processamento relacionadas à UE.

---

Próximas etapas

A APPI do Japão continua a evoluir através do seu ciclo de revisão obrigatório de três anos – espera-se que a revisão de 2025 alinhe ainda mais a APPI com os padrões internacionais. Construir um programa de conformidade que responda às atualizações contínuas, ao mesmo tempo que satisfaz as obrigações atuais, requer conhecimentos técnicos e consciência jurídica.

A equipe da ECOSIRE ajuda empresas com entrada e expansão no mercado japonês a implementar práticas de dados compatíveis com APPI, políticas de privacidade para usuários japoneses e mecanismos de transferência de dados transfronteiriços.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. A APPI está sujeita a revisões e alterações regulares. Consulte um consultor jurídico japonês qualificado para obter aconselhamento específico para a sua organização.