Approvata nel 1995, la Personal Data (Privacy) Ordinance (PDPO) di Hong Kong è una delle leggi sulla protezione dei dati più consolidate in Asia.
Creato in risposta a un rapporto della Commissione di riforma della legge del 1994, che suggeriva che Hong Kong stabilisse una legge sulla privacy aggiornata in linea con le linee guida dell’OCSE, il PDPO è stato introdotto per fornire a Hong Kong i livelli di privacy dei dati necessari per mantenere l’importanza della regione come hub commerciale internazionale.
Dalla sua istituzione, il PDPO ha subito una serie di modifiche significative nel tentativo di servire il panorama digitale in espansione. Nel 2012 sono state introdotte disposizioni sul marketing diretto al fine di affrontare le preoccupazioni del pubblico in materia di privacy online e nel 2021 sono stati aggiunti una serie di importanti emendamenti per combattere le pratiche di doxxing: il rilascio dei dati privati di un individuo online.
Secondo l’emendamento doxxing, chiunque divulghi o cospira per divulgare i dati personali di un altro individuo senza il consenso esplicito di tale individuo, sia per negligenza che con l’intento specifico di causare danni, ha commesso un reato punibile con multe o reclusione. Con questi poteri che danno al Commissario per la privacy la possibilità di perseguire indagini penali, il PDPO ha represso pesantemente le pratiche di abuso della privacy.
Principi di protezione dei dati
Al centro della legge si trova una serie di principi di protezione dei dati (DPP), che forniscono a individui e organizzazioni un quadro che delinea come i dati personali possono essere raccolti, gestiti, divulgati e utilizzati. L’Office of the Privacy Commissioner for Personal Data (PCPD) è responsabile dell’applicazione dei principi PDPO a Hong Kong e funge da guida alla conformità.
Le definizioni chiave applicabili alla legge sono le seguenti;
Dati personali
Questo è definito come qualsiasi dato pertinente a un individuo vivente che può essere utilizzato per identificare tale individuo. Questi dati dovrebbero esistere in una forma che consenta l’accesso e l’elaborazione pratici.
Soggetto dei dati
L’individuo che è l’oggetto dei dati personali.
Dati Utente
Qualsiasi individuo o entità che gestisce il controllo, la raccolta, la conservazione, l’elaborazione o l’utilizzo dei dati personali, da solo o in collaborazione con altre persone o entità.
Responsabile del trattamento
Qualsiasi individuo, organizzazione o entità che elabora dati personali per conto di un altro utente di dati anziché elaborare i dati per i propri scopi. Sebbene i responsabili del trattamento dei dati non siano tecnicamente disciplinati dal PDPO, gli utenti dei dati sono tenuti a garantire che i loro responsabili del trattamento dei dati siano conformi alle normative PDPO per contratto o con qualche altro metodo.
Consenso
A meno che i dati personali raccolti non vengano utilizzati per il marketing diretto o per un processo di nuova definizione, non è richiesto il consenso. Nel caso in cui lo sia, il consenso è definito come l’espressione volontaria di approvazione.
Diritti PDPO
I principi di protezione dei dati del PDPO concedono agli interessati il diritto di accedere e richiedere la modifica delle proprie informazioni personali.
Nel caso in cui un Utente dei dati rifiuti di concedere all’interessato l’accesso individuale alle proprie informazioni personali, devono essere fornite valide ragioni per il rifiuto. Inoltre, gli interessati hanno il diritto di essere informati dagli utenti dei dati se vengono conservate informazioni personali su di loro.
Mentre il PDPO non concede agli interessati alcun diritto definitivo di cancellare le informazioni, gli interessati possono richiedere che le informazioni detenute su di loro vengano cancellate se non sono più ritenute necessarie per l’elaborazione.
Dal punto di vista dell’utente dei dati, l’ordinanza vieta loro di conservare i dati personali più a lungo di quanto ritenuto assolutamente necessario. Di conseguenza, gli interessati hanno il diritto di rimuovere se stessi dalle campagne di marketing diretto.
Conformità PDPO
La governance PDPO si applica a qualsiasi organizzazione del settore pubblico o privato che raccoglie, elabora, conserva o utilizza dati personali. Sebbene le normative PDPO coprano il trattamento dei dati indipendentemente dal luogo in cui tale trattamento può essere situato, le regole si applicano solo agli utenti dei dati che hanno sede a Hong Kong.
Detto questo, ci sono una serie di esenzioni ai regolamenti PDPO. Le sentenze potrebbero non essere applicabili a te se…
- Il trattamento dei dati è nell’interesse pubblico o legale.
- I dati sono per usi domestici o ricreativi.
- I dati sono per scopi di lavoro.
Sebbene il PDPO non delinei specificamente i meccanismi specifici con cui gli individui e le organizzazioni dovrebbero gestire la propria privacy dei dati, suggerisce che qualsiasi entità impegnata nel trattamento dei dati introduca sistemi che si traducono in conformità PDPO. A tal fine, raccomandano l’assunzione di responsabili della protezione dei dati e la valutazione periodica dei sistemi di privacy.
I principi di protezione dei dati dell’ordinanza incoraggiano gli utenti dei dati a mantenere la trasparenza per quanto riguarda le loro pratiche relative ai dati, quali dati personali detengono e perché. Sono inoltre tenuti ad adottare tutte le misure necessarie per garantire che i dati personali in loro possesso siano protetti da accesso, elaborazione, perdita o utilizzo non autorizzati.
In caso di violazione dei dati, non vi è alcun obbligo legale ai sensi del PDPO per gli utenti dei dati di rendere di dominio pubblico tale violazione, tuttavia, si raccomanda vivamente che il PCPD e tutti gli interessati coinvolti nella violazione siano informati.
Sanzioni in caso di inosservanza
Sebbene l’inosservanza del PDPO non sia di per sé un reato, le disposizioni specifiche contenute nell’ordinanza comportano multe severe e pene detentive se non vengono rispettate.
Alcune delle disposizioni e delle sanzioni più rilevanti sono le seguenti:
- Nel caso in cui il Commissario per la privacy emetta un avviso di esecuzione, il mancato rispetto di tale avviso può comportare multe fino a HK $ 50.000 e due anni di reclusione. Qualsiasi condanna successiva può comportare una multa di HK $ 100.000 e un’ulteriore reclusione.
- Gli utenti di dati che non riescono a eliminare i dati non necessari possono essere punibili con una multa fino a HK $ 10.000.
- Gli interessati hanno il diritto di chiedere un risarcimento agli Utenti nel caso in cui i soggetti subiscano a causa della non conformità PDPO.
Dai un’occhiata a questo elenco completo che delinea tutte le sanzioni PCPD.
Per assicurarti che il tuo sito web raccolga dati in conformità con le normative PDPO, contatta CookieHub. Una soluzione di dati efficiente, CookieHub fornisce tutti gli strumenti necessari per garantire la conformità regionale, indipendentemente da dove ti trovi.