La protezione dei dati personali in Giappone è affidata all'APPI (Protection of Personal Information Act), che di recente ha visto l'introduzione di alcune modifiche e, da quando nel 2022 entreranno in vigore, si avvicinerà molto al GDPR europeo.
Nello specifico, le novità introdotte riguardano una nuova e dettagliata disciplina per i trasferimenti transfrontalieri, una maggior tutela dei diritti individuali dell'interessato ed un aumento delle sanzioni proprio per avvicinarsi agli standard europei1.
Fino ad ora, l'APPI era applicabile a tutte le organizzazioni che trattavano dati personali di cittadini giapponesi, ma solo sul territorio nazionale. Dall'entrata in vigore delle prossime modifiche, invece, saranno previsti alcuni obblighi anche per le società straniere che trattano i dati personali di soggetti residenti in Giappone: queste infatti dovranno redigere e inviare al PPC (Personal Information Protection Commission) un report annuale sul trattamento di tali dati. Per qualsiasi organizzazione poi, sia nazionale sia straniera coinvolta nel trattamento di dati di persone residenti in Giappone, è introdotto l'obbligo di notifica di data breach tramite un apposito modulo, e non più via mail o fax, al PPC.
Un tema fortemente valorizzato dalle novità introdotte nella normativa è quello dei diritti individuali degli interessati. Grazie ad un meccanismo simile a quello previsto dal GDPR, i cittadini giapponesi potranno richiedere l'accesso, la correzione e la cancellazione dei propri dati, qualora vi sia anche solo la possibilità che i loro diritti o interessi legittimi siano violati, mentre fino ad oggi era necessario che la violazione si concretizzasse (ad esempio con l'acquisizione impropria di dati personali da parte di un operatore commerciale). Questa novità si estende anche ai dati "a breve termine": affinché fosse possibile richiedere la cancellazione o la modifica di dati personali, questi dovevano essere stati conservati per un periodo minimo di sei mesi, mentre in futuro questo vincolo non sarà più presente.
Le organizzazioni che violeranno queste regole rischieranno sanzioni fino a ¥ 100 milioni ($ 942.000), mentre la falsificazione di un rapporto al PPC costerà ¥ 500.000 ($ 4.708). A seconda della gravità della violazione, la persona fisica responsabile all'interno dell'organizzazione, può anche essere condannata ad un periodo di reclusione da sei mesi ad un anno.
Un ultimo tema toccato dalle modifiche della normativa riguarda i sistemi di riconoscimento facciale: le finalità del trattamento e la destinazione d'uso delle immagini devono essere espressamente ed immediatamente rese note all'interessato, e le misure di protezione ed elaborazione dei dati acquisiti tramite attività di facial recognition devono essere chiare.