TL;DR

A lidar com dados de utilizadores japoneses? A Lei sobre a Proteção de Informações Pessoais (APPI) é a versão japonesa do RGPD, com sabor local.

Exige consentimento, comunicação de violações, restrições transfronteiriças e fortes salvaguardas técnicas e organizacionais.

Quer se trate de SaaS ou de infraestruturas, a conformidade com a privacidade não é opcional. Se fizer asneira, arrisca-se a pagar multas e a sofrer danos graves na sua marca num dos maiores mercados da Ásia.

Resumo do quadro de pontuação da legislação sobre cibersegurança no Japão:

• Esforço do programador: Moderado a elevado (requer a implementação de medidas de segurança técnica alinhadas com as diretrizes da APPI, codificação segura, tratamento cuidadoso de dados pessoais/sensíveis, apoio aos direitos dos titulares dos dados, se aplicável).
• Custo das ferramentas: Moderado (requer ferramentas de segurança padrão - encriptação, controlos de acesso, registo, gestão de vulnerabilidades - e, potencialmente, ferramentas de descoberta/mapeamento de dados para conformidade com a APPI).
• Impacto no mercado: elevado (a conformidade com a APPI é essencial para o tratamento dos dados pessoais japoneses; a lei de base define o tom nacional que influencia as infra-estruturas críticas e as expectativas das empresas).
• Flexibilidade: Moderada (a APPI fornece princípios e diretrizes, permitindo alguma flexibilidade na implementação técnica, mas os requisitos essenciais, como o consentimento e as medidas de segurança, são obrigatórios).
• Intensidade da auditoria: Moderada (menor incidência em auditorias de certificação formais como a ISO/SOC 2, mas as investigações regulamentares efectuadas pelo PPC na sequência de infracções ou queixas podem ser intensas).

O que é a Lei da Cibersegurança do Japão e os regulamentos conexos?

O panorama jurídico do Japão em matéria de cibersegurança é essencialmente moldado por vários actos legislativos fundamentais, e não por uma única "Lei da Cibersegurança" que contenha todos os requisitos técnicos:

1. Lei de base sobre cibersegurança (2014): Esta lei estabelece a estratégia e os princípios fundamentais para a cibersegurança no Japão a nível nacional. Define as responsabilidades do governo nacional, das autoridades locais, dos operadores de infra-estruturas críticas e das empresas. Promove a sensibilização para a cibersegurança, a investigação e a cooperação internacional, mas não impõe requisitos técnicos pormenorizados diretamente à maioria das empresas. Criou organismos-chave como a Sede Estratégica de Cibersegurança.
2. Lei da Proteção de Dados Pessoais (APPI): Originalmente promulgada em 2003 e significativamente alterada (em vigor desde 2017, 2022, sendo provável que haja mais actualizações), a APPI é a principal lei de proteção de dados do Japão. Rege o tratamento de informações pessoais pelas empresas. Os principais aspectos que afectam os programadores incluem:
   
   • Medidas de controlo de segurança: Exige que as empresas que tratam dados pessoais tomem as medidas necessárias e adequadas para evitar fugas, perdas ou danos (artigo 23.º). As orientações da Comissão de Proteção de Informações Pessoais (PPC) fornecem detalhes sobre medidas de segurança organizacionais, pessoais, físicas e técnicas (por exemplo, controlo de acesso, proteção contra malware, encriptação).
   • Restrições ao fornecimento por terceiros: Exige geralmente o consentimento antes de fornecer dados pessoais a terceiros, incluindo filiais ou entidades estrangeiras (com regras específicas para transferências transfronteiriças).
   • Comunicação de violações de dados: Obriga a comunicar violações de dados significativas (por exemplo, envolvendo dados sensíveis, potenciais danos financeiros, grande número de indivíduos) ao CPP e a notificar os indivíduos afectados.
   • Tratamento de informações pessoais sensíveis: Impõe regras mais rigorosas para o tratamento de categorias de dados sensíveis (raça, credo, historial médico, etc.).
   • Informações Pessoais Referíveis: A APPI alterada introduziu regras relativas à transferência de informações que se tornam identificáveis quando combinadas com outros dados detidos pelo destinatário (por exemplo, dados de cookies associados a uma conta).
3. Lei sobre a Proibição de Acesso Não Autorizado a Computadores (APUCA): Criminaliza o acesso não autorizado (hacking).
4. Lei sobre as empresas de telecomunicações (TBA): Inclui disposições relativas ao sigilo das comunicações efectuadas pelas transportadoras de telecomunicações.
5. Regulamentos específicos do sector: Vários sectores (finanças, infra-estruturas críticas) têm orientações ou regulamentos adicionais em matéria de cibersegurança, muitas vezes baseados nos princípios da Lei de Bases.

Para a maioria dos programadores e empresas de tecnologia, os requisitos da APPI para a segurança dos dados pessoais são a obrigação de conformidade mais direta e tecnicamente relevante, a par das práticas gerais de desenvolvimento seguro promovidas pela Lei de Bases.

Porque é que é importante?

Compreender e cumprir a legislação japonesa em matéria de cibersegurança e proteção de dados é crucial para:

• Acesso ao mercado: O tratamento de dados pessoais de residentes japoneses exige a conformidade com a APPI. O incumprimento pode levar a acções regulamentares que dificultam as operações comerciais.
• Conformidade legal: O não cumprimento das medidas de segurança da APPI ou dos requisitos de comunicação de violações pode resultar em ordens, penalizações e potenciais acusações criminais no caso de violações graves.
• Proteção de dados pessoais: A implementação das medidas de segurança da APPI ajuda a salvaguardar informações pessoais sensíveis, um requisito fundamental para operar de forma ética e legal.
• Criar confiança: A demonstração de práticas sólidas de cibersegurança e proteção de dados cria confiança junto dos consumidores, empresas e reguladores japoneses.
• Evitar penalizações: As violações e o incumprimento da APPI podem levar a multas significativas e ordens de correção da Comissão de Proteção de Informações Pessoais (PPC).
• Segurança nacional e infra-estruturas críticas: O ato de base sublinha a importância da cibersegurança para a segurança nacional e a resiliência dos serviços críticos, influenciando as expectativas mesmo das empresas não críticas.

A conformidade é essencial para qualquer organização que processe dados pessoais japoneses ou esteja envolvida em sectores críticos no Japão.

O que e como implementar (técnica e política)

A implementação centra-se principalmente no cumprimento dos requisitos das medidas de controlo de segurança da APPI e dos princípios gerais de desenvolvimento seguro:

1. Medidas de controlo de segurança da APPI (com base nas orientações do PPC):
   
   • Medidas organizacionais: Nomear pessoal responsável, estabelecer regras internas, criar registos de tratamento, realizar auto-inspecções.
   • Medidas relativas ao pessoal: Fornecer formação aos funcionários que lidam com dados pessoais.
   • Medidas físicas: Controlar o acesso às áreas que tratam dados pessoais, impedir o roubo/perda de dispositivos/meios de comunicação, implementar a eliminação segura.
   • Medidas técnicas:
     
     • Controlo do acesso: Implementar a identificação/autenticação, gerir os privilégios de acesso (privilégio mínimo), registar os registos de acesso, impedir o acesso externo não autorizado (firewalls).
     • Proteção contra malware: Instalar software anti-malware, manter patches de segurança para o SO/software.
     • Segurança dos sistemas de informação: Configurações seguras, gestão de vulnerabilidades, transferência segura de dados (encriptação - TLS), registo.
     • Desenvolvimento seguro: Incorporar requisitos de segurança durante a conceção, efetuar testes de segurança (embora menos explicitamente detalhado do que o SSDF/ASVS, está implícito).
2. Tratamento de dados APPI:
   
   • Gestão de consentimentos: Implementar mecanismos para obter o consentimento válido do utilizador, sempre que necessário, para o processamento ou transferências de terceiros (especialmente transfronteiriças).
   • Especificação e limitação da finalidade: Definir claramente a razão pela qual os dados são recolhidos e não os utilizar para outros fins sem consentimento.
   • Minimização de dados: Recolher apenas os dados necessários.
   • Apoio aos direitos dos titulares dos dados: Dispor de processos para tratar os pedidos de acesso, correção, eliminação ou cessação da utilização de dados pessoais.
   • Comunicação de violações: Desenvolver processos internos para detetar, avaliar e comunicar prontamente violações qualificadas ao CPP e aos indivíduos afectados.
3. Práticas gerais de cibersegurança (alinhadas com os princípios do ato de base):
   
   • Avaliação dos riscos: Avaliar regularmente os riscos de cibersegurança.
   • Configurações seguras: Proteger sistemas e aplicações.
   • Gestão de vulnerabilidades: Corrigir prontamente os sistemas e aplicações.
   • Resposta a incidentes: Ter um plano para lidar com incidentes de cibersegurança.
   • Formação: Assegurar que o pessoal está consciente das ameaças à cibersegurança (phishing, malware).

A implementação envolve ferramentas de segurança padrão (firewalls, anti-malware, MFA, encriptação, registo/SIEM, scanners de vulnerabilidades), juntamente com políticas e procedimentos internos sólidos, formação de programadores e práticas cuidadosas de tratamento de dados definidas pela APPI.

Erros comuns a evitar

As armadilhas comuns na conformidade japonesa com a cibersegurança e a privacidade dos dados incluem:

1. Ignorar a aplicabilidade da APPI: Assumir que a lei de proteção de dados japonesa não se aplica a empresas estrangeiras que processam dados de residentes japoneses. A APPI tem um alcance extraterritorial.
2. Medidas de segurança insuficientes: Não implementar as medidas de segurança técnicas, físicas, organizacionais e de pessoal "necessárias e adequadas", conforme orientado pelo CPP, para proteger os dados pessoais.
3. Consentimento indevido/Transferências transfronteiriças: Transferir dados pessoais para terceiros (especialmente para o estrangeiro) sem obter o consentimento necessário ou garantir níveis de proteção equivalentes.
4. Atraso/ausência de comunicação de violações: Não comunicar violações de dados qualificadas ao PPC e aos indivíduos afectados dentro dos prazos exigidos.
5. Gestão inadequada de fornecedores: Não garantir que os fornecedores terceiros que tratam dados pessoais tenham em vigor medidas de segurança e obrigações contratuais adequadas.
6. Falta de documentação: Não documentar políticas de tratamento de dados, medidas de segurança, avaliações de risco e procedimentos de resposta a violações.
7. Concentrar-se apenas na tecnologia: Negligenciar as medidas cruciais de segurança organizacional, pessoal e física exigidas pelas diretrizes da APPI.

O que os auditores/reguladores podem perguntar (foco no desenvolvedor)

Embora auditorias formais como a SOC 2 não sejam a norma para a APPI, o PPC pode investigar organizações, especialmente após violações. As questões relevantes para os programadores podem incluir:

• (Medidas de segurança APPI) "Que medidas técnicas de segurança (controlo de acesso, cifragem, gestão de vulnerabilidades) são implementadas na aplicação para proteger os dados pessoais?"
• (Medidas de segurança APPI) "Como é que previne as vulnerabilidades comuns da Web (por exemplo, injeção de SQL, XSS) em aplicações que tratam dados pessoais?" (Mostrar práticas de codificação seguras, resultados de testes)
• (Tratamento de dados APPI) "Como é que o sistema garante que apenas os dados pessoais necessários são recolhidos e tratados para o fim a que se destinam?" (Minimização de dados)
• (Tratamento de dados APPI) "Como é que a aplicação facilita os pedidos de acesso, correção ou eliminação dos dados pessoais dos utilizadores?"
• (Tratamento de dados APPI) "Mostrar os registos relacionados com o acesso ou as alterações aos dados pessoais na aplicação."
• (APPI Breach Reporting) "Que mecanismos estão em vigor na aplicação ou nos sistemas de apoio para detetar potenciais violações de dados?"

As autoridades reguladoras centrar-se-ão no facto de terem sido aplicadas as medidas de segurança "necessárias e adequadas", proporcionais à sensibilidade dos dados e aos riscos potenciais.

Ganhos rápidos para as equipas de desenvolvimento

Os programadores podem contribuir para o cumprimento dos regulamentos japoneses:

1. Compreender os princípios básicos da APPI: Familiarizar a equipa com os princípios fundamentais da APPI: base legal, limitação da finalidade, minimização de dados, medidas de segurança e direitos do titular dos dados.
2. Implementar controlos de acesso rigorosos: Aplicar o privilégio mínimo e MFA para aceder a sistemas/bases de dados com dados pessoais japoneses.
3. Encriptar dados sensíveis: Utilizar uma encriptação forte para dados pessoais sensíveis, tanto em repouso como em trânsito (TLS).
4. Práticas de codificação segura: Aplicar os princípios OWASP Top 10, concentrando-se na prevenção de falhas de injeção, XSS e controlo de acesso.
5. Minimizar a recolha de dados: Questionar ativamente a necessidade de todos os dados pessoais recolhidos nas funcionalidades.
6. Planear os pedidos dos titulares dos dados: Conceber modelos de dados e APIs tendo em conta a forma como os pedidos de acesso, correção e eliminação podem ser tecnicamente satisfeitos.
7. Melhorar o registo: Assegurar que os registos das aplicações capturam eventos relevantes para a monitorização da segurança e a investigação de potenciais violações.

Ignorar isto e... (Consequências do incumprimento)

O incumprimento da legislação japonesa em matéria de cibersegurança e de proteção de dados, nomeadamente a APPI, pode conduzir a

• Ordens administrativas: O CPP pode emitir recomendações ou ordens que exijam que as organizações ponham termo às violações e tomem medidas corretivas.
• Coimas: O não cumprimento das ordens do PPC pode resultar em coimas significativas (potencialmente até 100 milhões de ienes ou mais para as empresas ao abrigo do APPI alterado). A apresentação de relatórios falsos também pode dar origem a coimas.
• Sanções penais: A apropriação indevida ou o fornecimento de bases de dados pessoais para obter ganhos ilegais pode levar à prisão (até 1 ano) ou a multas (até 500 000 ienes) para indivíduos, com potencial responsabilidade indireta para a empresa. Outras leis, como a APUCA, também prevêem sanções penais para a pirataria informática.
• Danos à reputação: As violações de dados ou as acções regulamentares públicas prejudicam gravemente a confiança dos consumidores e parceiros comerciais japoneses.
• Acções judiciais civis: As pessoas cujos direitos de privacidade são violados podem intentar uma ação por danos ao abrigo do direito civil.
• Perturbação da atividade: As investigações e as medidas de correção necessárias podem perturbar as operações.

FAQ