Che cos’è il PDPA – La legge sulla protezione dei dati personali di Singapore?

Table of Contents

Poiché Internet è diventato sempre più globalizzato, le autorità nazionali hanno adottato misure per proteggere i dati personali dei cittadini. Ciò avviene dopo numerose e importanti violazioni dei dati da parte di società transnazionali, oltre alla raccolta segreta di dati personali senza supervisione normativa. A Singapore, la legge sulla protezione dei dati è il PDPA.

In questo articolo spiegheremo cos’è il PDPA, come funziona e chi colpisce?

Che cos'è il PDPA?

Il Personal Data Protection Act (PDPA) è una legge sulla protezione dei dati emanata dal Parlamento di Singapore il 15 ottobre 2012. La legge è entrata in vigore nel luglio 2014 ed è stata recentemente aggiornata nel novembre 2020.

Disciplina tutta la raccolta, l’uso e la divulgazione dei dati personali da parte di un’organizzazione privata collegata ai cittadini di Singapore. Tuttavia, il regolamento riconosce anche la necessità per le organizzazioni di utilizzare e raccogliere dati personali in circostanze appropriate.

Nell’ambito di una recente revisione, è stato introdotto un regime obbligatorio di notifica delle violazioni dei dati. In questo caso, le organizzazioni che subiscono una violazione dei dati sono obbligate a informare le autorità di Singapore e gli interessati, a meno che non si applichi un’eccezione.

Quali sono i dieci obblighi in materia di protezione dei dati previsti dal PDPA?

Il PDPA definisce dieci obblighi di protezione, tra cui:

  1. Limitazione delle finalità. Utilizzare o divulgare i dati personali solo per gli scopi definiti.
  2. Notifica. Informare gli individui sulle finalità della raccolta, dell’utilizzo e della divulgazione dei loro dati personali durante la raccolta.
  3. Consenso. Assicurarsi che sia stato ottenuto il consenso delle persone prima di raccogliere, utilizzare o divulgare i loro dati personali.
  4. Accesso e correzione. Su richiesta, fornire i dati personali dell’individuo e informazioni su come i dati personali dell’individuo sono stati utilizzati o divulgati nell’ultimo anno. Correggere i dati personali di un individuo su richiesta.
  5. Accuratezza. Garantire che i dati personali siano accurati e completi durante la raccolta o quando si prende una decisione che influirà sull’individuo.
  6. Protezione. Mantenere i dati personali in tuo possesso al sicuro da accesso non autorizzato, modifica, divulgazione, uso, copia, sia in forma cartacea che elettronica.
  7. Limitazione della conservazione. Conserva i dati personali solo per scopi commerciali/legali e distruggi in modo sicuro i dati personali quando non sono più necessari.
  8. Limitazione del trasferimento. Assicurarsi che le organizzazioni esterne all’estero forniscano uno standard di protezione ai sensi del PDPA di Singapore.
  9. Apertura. Designare un responsabile della protezione dei dati e pubblicare le informazioni di contatto aziendali. Mettere a disposizione del pubblico e dei dipendenti le politiche e le pratiche in materia di protezione dei dati personali, compresa la procedura di reclamo.
  10. Non chiamare (DNC). Non inviare messaggi di marketing a persone iscritte al registro nazionale DNC tramite voce, messaggi di testo o fax, a meno che non si sia ottenuto il loro consenso chiaro e inequivocabile o si abbia una relazione continuativa (per SMS/fax).

Per coloro che hanno già familiarità con il GDPR, molti di questi obblighi sembreranno familiari. Tuttavia, il PDPA precede di diversi anni il GDPR.

Il decimo obbligo – Do-Not-Call – non è sempre considerato un obbligo, ma piuttosto fa parte della regolamentazione del telemarketing a Singapore da parte del PDPA. Invece, un decimo (o undicesimo) obbligo è l’obbligo di notificare alle autorità e agli interessati a seguito di una violazione dei dati.

Che cos'è la Commissione per la protezione dei dati personali?

La Commissione per la protezione dei dati personali (PDPC) è stata istituita ai sensi del PDPA come autorità di regolamentazione responsabile della regolamentazione della protezione dei dati a Singapore. Il PDPC fornisce consulenza al governo sulle normative future e pubblica regolarmente linee guida consultive per la protezione dei dati.

Il PDPC fa parte dell’autorità di regolamentazione convergente delle telecomunicazioni e dei media, l’Infocomm Media Development Authority (IMDA). Entrambe le autorità sono, a loro volta, di competenza del ministero delle Comunicazioni e dell’Informazione.

La creazione del PDPC fa parte di una spinta verso una “cultura della responsabilità”. Ad esempio, nel 2019, il PDPC ha implementato la certificazione del marchio di fiducia per la protezione dei dati. Si tratta di un programma di certificazione volontario a livello aziendale creato per un’organizzazione per dimostrare le proprie pratiche di protezione dei dati responsabili.

Il PDPC applica e persegue anche numerose organizzazioni per violazioni del PDPA: in particolare SingHealth a seguito della violazione dei dati di SingHealth del 2018.

A cosa si applica il PDPA?

Come altre normative sulla protezione dei dati, come il GDPR del Regno Unito e dell’UE e la LGPD del Brasile, il PDPA contiene “effetti extraterritoriali”. Ciò significa che le organizzazioni che non hanno sede a Singapore possono trovarsi obbligate a rispettare il PDPA se un’organizzazione raccoglie, utilizza o divulga dati all’interno di Singapore.

Ad esempio, se un’azienda non singaporiana – come Facebook – raccoglie dati da singaporiani online, allora è soggetta al PDPA. Dovrà inoltre affrontare sanzioni nel caso in cui si riscontri che non è conforme al regolamento.

Quali sanzioni derivano dalla mancata conformità al PDPA?

Nel caso in cui un’organizzazione violi il PDPA, il PDPC si riserva il diritto di applicare diverse sanzioni. Questi includono la richiesta all’organizzazione di:

– Interrompere la raccolta, l’utilizzo o la divulgazione di dati personali in violazione del PDPA.
– Distruggere i dati personali raccolti in violazione del PDPA.
– Fornire l’accesso ai dati personali o correggerli.
– Pagare una sanzione pecuniaria fino a 1 milione di SGD (circa 625.735 euro).

Quest’ultima multa è sostanzialmente inferiore alle sanzioni applicate ai sensi del GDPR dell’UE, che possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia la più alta. Tuttavia, con la recente modifica, il PDPC ha ora il potere di imporre sanzioni pecuniarie più elevate. Ciò include un massimo del 10% del fatturato annuo dell’organizzazione a Singapore (se il fatturato supera i 10 milioni di SGD (circa 6.257.210 euro) o fino a 1 milione di SGD (circa 625.735 euro).

Inoltre, è probabile che le aziende penalizzate subiscano anche danni reputazionali e contraccolpi pubblici.

Conclusione

Il PDPA è la legge sulla protezione dei dati di Singapore. Disciplina il trattamento dei dati personali nel settore privato. Se sei d’affari con i rapporti a Singapore, è fondamentale familiarizzare con il contenuto del disegno di legge.

Per ulteriori informazioni, consultare il sito web del PDPC.

Fonti:

https://www.dataguidance.com/notes/singapore-data-protection-overview
https://www.pwc.com/sg/en/personal-data-protection.html
https://en.wikipedia.org/wiki/Personal_Data_Protection_Act_2012
https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=P1IV-#P1IV-
https://www.pdpc.gov.sg/

Sales & Support