Loading…
A APPI do Japão e o GDPR da UE firmaram uma decisão de adequação mútua em 2019, abrindo caminho para o fluxo de dados contínuo entre UE↔Japão. Mas as próprias leis permanecem substancialmente diferentes — a APPI utiliza a especificação de finalidade em vez da enumeração de bases legais, trata os dados sensíveis com exigências de consentimento explícito, prevê penalidades corporativas denominadas em ienes e está enraizada em tradições culturais distintas de orientação administrativa. As emendas de 2022 aproximaram a APPI do GDPR — mas a diferença é real e relevante para o desenho da conformidade.
| Dimensão | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| Instrumento legal | Lei de Proteção de Informações Pessoais (2003, principais emendas em 2015, 2020 e 2022) | Regulamento (UE) 2016/679 |
| Órgão regulador | Comissão de Proteção de Informações Pessoais (PPC, 個人情報保護委員会) | 27 ANPDs dos Estados-Membros da UE + EDPB |
| Adequação | Decisão de adequação da UE em vigor desde 2019 (mútua) | Adequação mútua do Japão em vigor |
| Âmbito territorial | Operadores que tratam dados de pessoas no Japão, incluindo entidades estrangeiras (Art. 166) | UE + extraterritorialidade do Artigo 3 |
| Abordagem da base legal | Especificação de finalidade + aquisição adequada; consentimento exigido para determinadas divulgações e dados sensíveis | Seis bases legais sob o Artigo 6; nove condições sob o Artigo 9 para categorias especiais |
| Informações pessoais sensíveis | 要配慮個人情報 (yō-hairyo kojin jōhō) — raça, crença, posição social, histórico médico/criminal; consentimento prévio explícito exigido para a coleta | Dados de categoria especial — Artigo 9, consentimento explícito ou outra condição habilitante |
| Multa máxima para empresas | ¥100 million (~$650K USD) por descumprimento de ordem da PPC | €20M ou 4% do faturamento global |
| Multa máxima para indivíduos | ¥1 million / 1 ano de prisão | Sem penalidade criminal (sanções dos Estados-Membros podem ser aplicáveis) |
| Notificação de incidentes | Dentro do prazo prescrito (geralmente 'sem demora'); reportar à PPC + notificar os titulares de dados em incidentes graves (Art. 26) | 72 horas à Autoridade de Supervisão + titulares de dados em caso de alto risco |
| Transferência transfronteiriça | Consentimento do titular dos dados OU mecanismo de proteção equivalente OU adequação reconhecida pela PPC (Art. 28) | SCCs, BCR, adequação |
| Direito de acesso | Sim — Artigos 28 a 35, escopo esclarecido pelas emendas de 2022 | Sim — Artigo 15 |
| Direito de correção | Sim — Artigos 30, 33 | Sim — Artigo 16 |
| Direito de cessação/exclusão | Sim — Artigos 30, 35 (riyō teishi) | Direito ao apagamento — Artigo 17 |
| Direito à portabilidade de dados | Sem direito geral; algumas regras setoriais | Sim — Artigo 20 |
| Equivalente ao DPO | Gerente de Informações Pessoais (kojin jōhō hogo kanrisha) — recomendado; designação divulgada pela PPC | Encarregado de Proteção de Dados — obrigatório em casos definidos (Artigo 37) |
| Informações tratadas de forma anônima | 匿名加工情報 — fora do escopo da APPI quando irreversível; regras para criação e divulgação | Informações anônimas fora do escopo do GDPR (Considerando 26) |
| Informações tratadas de forma pseudonimizada | 仮名加工情報 — introduzido pelas emendas de 2022 | Pseudonimização referenciada no Artigo 4(5); não remove a aplicabilidade do GDPR |
| Dados de crianças | Sem limite de idade específico na APPI; consentimento parental para menores por meio do responsável legal | Idade padrão de 16 anos (Estados-Membros podem reduzir para 13) |
| Estrutura do setor público | Lei de Proteção de Informações Pessoais sob Órgãos Administrativos (APIAO) — integrada à APPI pelas reformas de 2021 | Diretiva de Aplicação da Lei 2016/680 (separada do GDPR) |
| Ciclo de revisão | Revisão obrigatória a cada 3 anos (Artigo 6 da APPI) | Revisão do Artigo 97 (a cada 4 anos a partir de maio de 2020) |
Em grande parte. A decisão de adequação mútua reconhece a equivalência substantiva. A diferença: nomear um Gerente de Informações Pessoais, notificar a PPC sobre violações dentro do prazo local, garantir que seu aviso de privacidade atenda ao padrão de especificação de finalidade da APPI (mais específico do que a abordagem de "legítimo interesse") e documentar transferências internacionais nos termos do Artigo 28.
Principais mudanças: aplicação extraterritorial (Artigo 166), notificação obrigatória explícita de violações com prazos, ampliação dos direitos dos titulares de dados (riyō teishi ampliado), introdução da categoria de informações tratadas de forma pseudonimizada e regras mais rígidas para transferências internacionais.
Não é estritamente exigido pela APPI, mas a PPC espera um ponto de contato significativo no Japão. Operadores fora do Japão estão no escopo, e as ordens da PPC podem ser executadas por meio de assistência jurídica mútua.
Não há equivalente ao Artigo 22 do GDPR. A IA é regulada por diretrizes setoriais (METI, MIC) e pela Lei de IA de 2025 (uma estrutura separada). A APPI se aplica à IA na medida em que a IA trata dados pessoais.
Historicamente consultivo e orientativo, com ordens formais raras. As emendas de 2022 adicionaram rigor (aplicação extraterritorial pelo Artigo 166, penalidades corporativas de ¥100M). Espere uma fiscalização mais formal daqui para frente.
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.