Loading…
La APPI de Japón y el GDPR de la UE firmaron una decisión de adecuación mutua en 2019, abriendo la puerta a un flujo de datos fluido entre la UE y Japón. Pero las leyes en sí siguen siendo materialmente diferentes: la APPI utiliza la especificación de finalidad en lugar de la enumeración de bases legales, trata los datos sensibles con requisitos de consentimiento explícito, contempla sanciones corporativas denominadas en yenes y se basa en distintas tradiciones culturales de orientación administrativa. Las reformas de 2022 acercaron la APPI al GDPR, pero la diferencia es real y relevante para el diseño del cumplimiento.
| Dimensión | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| Instrumento jurídico | Ley de Protección de Información Personal (2003, reformas importantes en 2015, 2020 y 2022) | Reglamento (UE) 2016/679 |
| Regulador | Comisión de Protección de Información Personal (PPC, 個人情報保護委員会) | 27 APD de los Estados miembros de la UE + EDPB |
| Adecuación | Decisión de adecuación de la UE en vigor desde 2019 (mutua) | Adecuación mutua de Japón en vigor |
| Ámbito territorial | Operadores que manejan datos de personas en Japón, incluidas entidades no japonesas (Art. 166) | UE + extraterritorialidad del Artículo 3 |
| Enfoque de la base legal | Especificación de finalidad + adquisición apropiada; se requiere consentimiento para determinadas divulgaciones y datos sensibles | Seis bases legales según el Artículo 6; nueve condiciones según el Artículo 9 para categorías especiales |
| Información personal sensible | 要配慮個人情報 (yō-hairyo kojin jōhō): raza, credo, condición social, historial médico/penal; se requiere consentimiento previo explícito para su adquisición | Datos de categorías especiales: Artículo 9, consentimiento explícito u otra condición que lo habilite |
| Multa corporativa máxima | ¥100M (~650 000 USD) por incumplimiento de una orden de la PPC | 20M € o el 4% de la facturación global |
| Multa individual máxima | ¥1 millón / 1 año de prisión | Sin sanción penal (pueden aplicarse sanciones de los Estados miembros) |
| Notificación de brechas | Dentro del plazo establecido (normalmente «sin demora»); notificar a la PPC + informar a los interesados en caso de brechas graves (Art. 26) | 72 horas a la Autoridad de Control + a los interesados si existe alto riesgo |
| Transferencia transfronteriza | Consentimiento del titular de los datos O mecanismo de protección equivalente O adecuación reconocida por la PPC (Art. 28) | SCCs, BCR, adecuación |
| Derecho de acceso | Sí — Artículos 28 a 35, alcance aclarado por las enmiendas de 2022 | Sí — Artículo 15 |
| Derecho de rectificación | Sí — Artículos 30, 33 | Sí — Artículo 16 |
| Derecho de cese/supresión | Sí — Artículos 30, 35 (riyō teishi) | Derecho de supresión — Artículo 17 |
| Derecho a la portabilidad de los datos | Sin derecho general; algunas normas sectoriales | Sí — Artículo 20 |
| Equivalente al DPO | Responsable de Información Personal (kojin jōhō hogo kanrisha) — recomendado; designación publicada por la PPC | Delegado de Protección de Datos — obligatorio en casos definidos (Artículo 37) |
| Información tratada de forma anónima | 匿名加工情報 — fuera del ámbito de la APPI cuando es irreversible; reglas para su creación y divulgación | Información anónima fuera del ámbito del GDPR (Considerando 26) |
| Información tratada de forma seudonimizada | 仮名加工情報 — introducida por las enmiendas de 2022 | La seudonimización se menciona en el Artículo 4(5); no elimina la aplicabilidad del GDPR |
| Datos de menores | La APPI no establece un umbral de edad específico; consentimiento parental para menores a través del tutor | Edad predeterminada de 16 años (los Estados miembros pueden reducirla a 13) |
| Marco del sector público | Ley de Protección de la Información Personal en poder de los Órganos Administrativos (APIAO) — integrada en la APPI por las reformas de 2021 | Directiva de Aplicación de la Ley 2016/680 (independiente del GDPR) |
| Ciclo de revisión | Revisión obligatoria cada 3 años (Artículo 6 de la APPI) | Revisión del Artículo 97 (cada 4 años a partir de mayo de 2020) |
En su mayor parte. La decisión de adecuación mutua reconoce la equivalencia sustantiva. La diferencia: designar un Responsable de Información Personal, notificar a la PPC las brechas dentro del plazo local, asegurar que su aviso de privacidad cumpla con el estándar de especificación de finalidad de la APPI (más específico que el enfoque de «intereses legítimos») y documentar las transferencias transfronterizas conforme al Artículo 28.
Cambios principales: aplicación extraterritorial (Artículo 166), notificación de brechas obligatoria y explícita con plazos, ampliación de los derechos de los titulares de los datos (extensión del riyō teishi), introducción de la categoría de información tratada de forma seudonimizada y normas más estrictas para las transferencias transfronterizas.
La APPI no lo exige estrictamente, pero la PPC espera un punto de contacto significativo en Japón. Los operadores fuera de Japón están dentro del ámbito y las órdenes de la PPC pueden ejecutarse mediante asistencia jurídica mutua.
No existe un equivalente del Artículo 22 del GDPR. La IA se regula mediante directrices sectoriales (METI, MIC) y la Ley de IA de 2025 (un marco independiente). La APPI se aplica a la IA en la medida en que esta trate datos personales.
Históricamente consultivo y de asesoramiento, con órdenes formales poco frecuentes. Las enmiendas de 2022 le dieron mayor fuerza (aplicación extraterritorial del Artículo 166, sanciones corporativas de ¥100M). Cabe esperar una aplicación más formal en el futuro.
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.