Che cos’è la POPIA – Legge sudafricana sulla privacy dei dati?

Table of Contents

Nel luglio 2020, il Parlamento sudafricano ha promulgato il POPIA. È l’ultima e più importante legge sulla privacy dei dati della nazione che disciplina i dati personali dei sudafricani. Con una serie di nuove leggi sulla privacy dei dati che entrano in vigore in tutto il mondo, come il GDPR e il CCPA, questa è l’ultima aggiunta che migliora le normative sudafricane per riflettere le nuove norme globali.

Tutte le organizzazioni che operano in Sudafrica devono essere informate e conformi ai nuovi standard. In caso contrario, rischiano di incorrere in sanzioni e conseguenze significative.

Che cos'è la POPIA?

Il POPIA, o Protection of Personal Information Act, è stato approvato per la prima volta nel 2013. Tuttavia, dopo sette anni di limbo giuridico, la legge è finalmente entrata in vigore nel luglio 2020, con un periodo di grazia di un anno per aiutare la conformità. Ancora peggio, POPIA è stato redatto per la prima volta nel 2003 e ha subito numerose iterazioni.

Nella sua forma attuale, la legge mira a conferire ai cittadini sudafricani i diritti sui propri dati personali, incluso il diritto di correggere, accedere e cancellare qualsiasi informazione personale in possesso di un’organizzazione.

Inoltre, non è necessario che le organizzazioni si trovino all’interno del Sudafrica affinché la legge sia applicabile. Infatti, come il GDPR, qualsiasi organizzazione in possesso dei dati personali dei cittadini sudafricani deve essere conforme al POPIA.

Quali sono i diritti degli interessati ai sensi del POPIA?

Come altre leggi sulla privacy dei dati, il POPIA sancisce alcuni diritti inalienabili per gli interessati. Questi garantiscono un maggiore controllo della raccolta, dell’uso e della divulgazione dei dati personali agli individui e assicurano una maggiore trasparenza da parte delle organizzazioni.

Ai sensi del capitolo 2, paragrafo 5, il POPIA include il diritto (dichiarazioni importanti evidenziate in grassetto):

  1. di essere informato che:
    1. le informazioni personali che lo riguardano vengono raccolte come previsto dalla sezione 18; o
    2. le sue informazioni personali sono state consultate o acquisite da una persona non autorizzata come previsto dalla sezione 22;
  2. stabilire se un titolare del trattamento detiene le informazioni personali di tale interessato e richiedere l’accesso alle sue informazioni personali come previsto ai sensi della sezione 23;
  3. richiedere, ove necessario, la correzione, la distruzione o la cancellazione delle proprie informazioni personali come previsto ai sensi della sezione 24;
  4. opporsi, per motivi ragionevoli relativi alla sua situazione particolare, al trattamento dei suoi dati personali come previsto ai sensi dell’articolo 11, paragrafo 3, lettera a);
  5. di opporsi al trattamento dei propri dati personali:
    1. in qualsiasi momento per finalità di marketing diretto ai sensi dell’articolo 11, paragrafo 3, lettera b); o
    2. ai sensi dell’articolo 69(3)(c);
  6. di non far trattare i propri dati personali per finalità di marketing diretto mediante comunicazioni elettroniche non richieste , ad eccezione di quanto previsto dall’articolo 69, paragrafo 1;
  7. di non essere soggetto, in determinate circostanze, a una decisione basata esclusivamente sul trattamento automatizzato delle sue informazioni personali volto a fornire un profilo di tale persona come previsto ai sensi dell’articolo 71;
  8. presentare un reclamo all’autorità di regolamentazione in merito a presunte interferenze con la protezione delle informazioni personali di qualsiasi interessato o presentare un reclamo all’autorità di regolamentazione in relazione a una decisione di un giudice, come previsto ai sensi della sezione 74; e
  9. avviare procedimenti civili in merito alla presunta interferenza con la protezione delle sue informazioni personali, come previsto dall’articolo 99.

In breve, la legge garantisce all’interessato il diritto a un consenso significativo alla raccolta, all’uso o all’accesso ai propri dati. Possono inoltre richiedere la distruzione o la rettifica dei propri dati. E, in circostanze in cui i loro diritti sono violati, hanno il diritto di presentare un reclamo e citare in giudizio l’organizzazione in questione.

Cosa si intende per dati personali ai sensi del POPIA?

La maggior parte delle leggi sulla privacy dei dati ha assunto una posizione ampia nella definizione dei dati personali. Il POPIA non è diverso. In questo caso, include “qualsiasi tipo di informazione relativa a una persona fisica identificabile e vivente, a un’azienda o a un’entità giuridica simile”.

Per esempio:
– Nomi, indirizzi, e-mail o numeri di telefono
– Marcatori di identità: genere, età, etnia, orientamento sessuale, convinzioni politiche, ecc.
– Dati sanitari
– Identificatori online: cookie, indirizzi IP, cronologia del browser, dati sulla posizione, ecc.

Sanzioni ed esecuzione ai sensi del POPIA

Ai sensi del GDPR, le sanzioni pecuniarie in cui si incorre possono essere sostanziali. Il POPIA prevede sanzioni pecuniarie più basse, ma prevede la possibilità di reclusione o sanzioni per i colpevoli.

I reati e le inosservanze sono di competenza dell’Information Regulator, che amministra le sanzioni pecuniarie e penali.

La sezione 109 stabilisce che la multa massima per la violazione è di 10 milioni di ZAR (circa 490.000 euro). Nel frattempo, la sezione 107 afferma che alcune violazioni possono comportare una pena detentiva fino a 10 anni.

Tutti i reclami degli interessati devono essere prima presentati all’autorità di regolamentazione, che è poi incaricata di indagare sul caso. Quindi, il regolatore deve decidere se procedere con l’azione o desistere da ulteriori sanzioni.

Conclusione

Dopo l’entrata in vigore del POPIA, un’organizzazione che opera in Sudafrica deve garantirne la conformità. Per fortuna, coloro che sono già conformi al GDPR troveranno poche differenze tra i due atti. In effetti, le otto condizioni del GDPR per il trattamento lecito dei dati si rispecchiano nel POPIA.

In breve, per garantire la conformità con il POPIA:

  1. Chiedi sempre un consenso informato e significativo.
  2. Fornire un’opzione per la revoca del consenso in qualsiasi momento.
  3. Tenere informati gli interessati di eventuali modifiche al trattamento dei dati.
  4. Trattare i dati solo secondo le condizioni indicate e i diritti dell’interessato.

Segui questi quattro semplici passaggi e sarai quasi sulla buona strada verso la completa conformità POPIA. Per ulteriori informazioni sulla legge, si prega di fare riferimento alla legislazione originale qui.

Fonti:
https://popia.org/application-provisions/#S5
https://altadvisory.africa/popia/
https://popia.co.za/
https://www.payfast.co.za/blog/what-is-popia-and-how-does-it-affect-your-online-business/
https://www.tessian.com/blog/ultimate-guide-to-the-popia-south-africas-privacy-law/
https://popiachecklist.co.za/what-is-popia/
https://popia.org/directory/

Sales & Support