Email
Tel. +66 94 218 4278

Legge sulla protezione dei dati personali

Legge sulla protezione dei dati personali (PDPA)

La presente legge si applica alla raccolta, all'utilizzo o alla divulgazione di dati personali nel Regno di Thailandia da parte di qualsiasi incaricato o responsabile del trattamento dei dati, anche quando tale divulgazione, utilizzo o raccolta non avvengono in Thailandia. Se un incaricato o un responsabile del trattamento dei dati si trova al di fuori della Tailandia, la Legge si applicherà comunque agli interessati in Tailandia.

Per "dati personali" si intende qualsiasi informazione relativa a una determinata persona che ne consenta l'identificazione, diretta o indiretta, ad esclusione delle informazioni sulle persone decedute;
Per "responsabile del trattamento dei dati" si intende una persona fisica o giuridica che ha il potere e i doveri di prendere decisioni in merito alla raccolta, all'utilizzo o alla divulgazione dei dati personali;
Per "incaricato del trattamento" si intende una persona fisica o giuridica che opera in relazione alla raccolta, all'utilizzo o alla divulgazione dei dati personali in base agli ordini impartiti da o per conto di un titolare del trattamento, laddove tale persona fisica o giuridica non sia il titolare del trattamento.

Premessa: La protezione dei dati personali in Thailandia

La legge sulla protezione dei dati personali è stata pubblicata per la prima volta nel 2019, e c'è stato un periodo di un anno durante il quale le aziende e le altre entità hanno potuto conformarsi alla legge in termini di sanzioni per la non conformità, obblighi del responsabile del trattamento dei dati e diritti dell'interessato.

L'Ufficio del Comitato per la protezione dei dati è la principale autorità di controllo e il Ministero dell'economia e della società digitali è il supervisore del PDPA.

Panoramica della protezione dei dati personali in Thailandia



Applicazione della conformità al PDPA

In generale, il PDPA si applica a qualsiasi divulgazione, utilizzo e raccolta di dati in Thailandia o relativi a cittadini thailandesi. In alcuni casi, i responsabili e gli incaricati del trattamento dei dati devono attenersi al PDPA anche quando operano al di fuori della Thailandia:

  • Quando gli interessati vengono monitorati in Tailandia.
  • Quando gli interessati hanno accesso a beni e servizi in Thailandia.

Motivi legali per la raccolta, l'uso e la divulgazione dei dati personali
Esistono solo sei autorizzazioni legali per questa pratica. In ogni altro caso, è necessario il consenso dell'interessato.

Le pratiche legalmente consentite includono:

  • Ogni caso in cui i responsabili del trattamento dei dati sono soggetti a leggi di conformità che richiedono la raccolta dei dati.
  • Nel caso in cui i diritti fondamentali degli interessati non prevalgano sugli interessi legittimi di un responsabile del trattamento o di altre persone che potrebbero trarre vantaggio dalla raccolta dei dati personali.
  • Quando il responsabile del trattamento dei dati deve svolgere un compito di interesse pubblico che comporta la raccolta di dati personali.
  • Quando l'interessato è parte di un contratto che lo richiede, o quando vuole stipulare un contratto che richiede l'adozione di misure.
  • Allo scopo di prevenire un pericolo per la salute, il benessere o la vita di una persona.
  • Nei casi in cui vengano adottate misure soddisfacenti per tutelare i diritti di un soggetto in termini di preparazione di documenti storici a fini di interesse pubblico, o in relazione a statistiche o ricerche, e supponendo che venga prestata tutta la cura prescritta per seguire le normative.

Problemi di consenso

Esistono dei criteri che devono essere soddisfatti affinché il consenso sia considerato valido:

  • Nella richiesta di consenso non sono ammessi inganni o informazioni errate.
  • Nelle richieste di consenso deve essere utilizzato un linguaggio semplice e chiaro.
  • La richiesta in cui si trova il modulo deve essere facilmente leggibile e accessibile.
  • Quando all'interessato vengono fornite altre informazioni, la richiesta di consenso deve essere facilmente distinguibile da tutte le altre informazioni.
  • L'interessato deve sapere per cosa vengono utilizzati i dati e come possono essere divulgati.
  • Il consenso deve essere espresso per iscritto o tramite mezzi di comunicazione elettronici.

Informativa sulla privacy

Un'informativa sulla privacy deve essere fornita all'interessato nel momento in cui i dati vengono raccolti. L'avviso deve contenere le seguenti informazioni:

  • I diritti dell'interessato che comprendono:
    • Diritto di accesso a una copia dei propri dati personali
    • Diritto di richiedere il trasferimento dei dati ad altri titolari del trattamento
    • Diritto di revoca del consenso
    • Diritto di presentare reclami
    • Diritto alla conservazione accurata dei dati personali
    • Diritto di richiedere la sospensione dell'utilizzo dei dati
    • Diritto di richiedere la cancellazione dei dati
    • Diritto di opporsi alla divulgazione, all'utilizzo e alla raccolta dei dati personali
  • Dati di contatto del responsabile della protezione dei dati, del titolare del trattamento e, in determinate circostanze, del rappresentante del titolare del trattamento.
  • Identità di organizzazioni o persone a cui i dati potrebbero essere divulgati
  • Per quanto tempo tali dati saranno conservati, o almeno un periodo previsto di conservazione dei dati conforme allo standard di conservazione dei dati.
  • Informazioni sull'eventuale obbligo di fornire i dati personali dell'interessato.
  • Quali basi legali sono state utilizzate per la divulgazione, l'utilizzo o la raccolta dei dati personali?
  • I dati da raccogliere:
    • Dati sensibili
    • Dati relativi alla salute
    • Altri dati

Notifica delle violazioni

Una volta che il titolare del trattamento dei dati viene a conoscenza di una violazione dei dati personali che incide sulla protezione dei dati, ha 72 ore di tempo per notificarla all'ufficio. Se la violazione dei dati ha un impatto significativo o comporta un rischio elevato per la libertà e i diritti dell'interessato, anche quest'ultimo deve essere informato il prima possibile.

Obblighi di sicurezza per la protezione dei dati

Il responsabile del trattamento dei dati ha il dovere di mantenerli al sicuro:

  • Una volta terminato il periodo di conservazione, deve esistere un sistema adeguato per distruggere i record una volta terminato il trattamento dei dati.
  • Metodi per impedire al responsabile del trattamento di divulgare o utilizzare i dati in modo non autorizzato o illegale.
  • Vengono adottate tutte le misure ragionevoli per proteggere la privacy dei dati e impedire la correzione, la divulgazione, l'alterazione, l'uso, l'accesso o la perdita illecita dei dati durante la loro conservazione.

Trasferimento transfrontaliero

Sebbene gli "standard adeguati di protezione dei dati" non siano ancora stati ufficialmente stabiliti, si prevede che quando i dati personali vengono trasferiti in altre parti del mondo, il Paese deve avere standard di protezione adeguati che disciplinino la protezione dei dati. L'unica eccezione è rappresentata dalle esenzioni.

Sanzioni per la mancata protezione dei dati personali

A seconda della gravità delle violazioni della legge sulla protezione dei dati personali, si possono applicare multe amministrative, multe penali, responsabilità penale o responsabilità civile.

Ad esempio, se il consenso era richiesto dalla legge, ma un responsabile del trattamento dei dati ha raccolto dati da un soggetto interessato senza consenso, riceverà una multa fino a 3 milioni di THB.

Prepararsi alla legge sulla protezione dei dati (PDPA)

Disposizioni transitorie

I dati raccolti prima del 27 maggio 2020 possono ancora essere utilizzati, a condizione che il titolare del trattamento adotti le seguenti misure:

  • Deve essere fornita agli interessati l'opportunità di opporsi all'uso dei propri dati personali. Il modo più diffuso per farlo è quello di pubblicare un metodo di revoca del consenso.
  • In assenza di obiezioni da parte dell'interessato, i dati personali devono essere utilizzati solo per lo scopo per cui sono stati originariamente raccolti.

Prepararsi alla conformità alla protezione dei dati:

  • Dovete innanzitutto stabilire se il PDPA si applica alle attività che intendete intraprendere.
  • Se scoprite che il PDPA si applica alle vostre attività, dovrete adottare le seguenti misure:
    • Create una mappa del vostro flusso di dati.
    • Se state rilevando dati personali esistenti, assicuratevi che i soggetti interessati abbiano la possibilità di opporsi, quindi assicuratevi di utilizzare solo i dati personali per i quali non ricevete obiezioni. Inoltre, assicuratevi che tali dati personali siano utilizzati solo in conformità alla loro finalità originaria.
    • Assicuratevi che l'elaborazione dei dati sia conforme agli standard nazionali di protezione dei dati e che abbiate protocolli di consenso aggiornati.
    • Assicuratevi di avere una base legale per la divulgazione, l'utilizzo e la raccolta dei dati personali di cui potreste avere bisogno nella vostra attività. È necessario che vi sia un avviso sulla privacy e una richiesta di consenso esplicito da parte di chiunque desideri raccogliere dati personali, compresi i partner commerciali.
    • Assicurare l'osservanza di tutti gli altri doveri che ci si aspetta da un responsabile del trattamento dei dati.

Come si regola la protezione dei dati nelle PMI?

Potrebbe essere più facile garantire la conformità nelle imprese più piccole, in quanto cose come lo sfruttamento indebito sono più difficili da nascondere. Altri aspetti chiave sono più facili da tenere sotto controllo ed è possibile una comunicazione più diretta con i soggetti interessati. I titolari dei dati possono investire tempo e sforzi reali nella portabilità dei dati, se necessario, nonché nella ricerca del consenso laddove necessario e nell'assicurarsi che la legge consolidata sia seguita da vicino dai responsabili del trattamento. Anche la comunicazione e la trasparenza con l'interessato prima della raccolta dei dati sono più facili nell'era digitale, e le attività di trattamento sono meno dispendiose in termini di tempo quando il pool di dati è più piccolo.

Ricordate che in caso di trasferimento dei dati, dovreste assicurarvi che il responsabile del trattamento invii le notifiche relative a tali informazioni. Il governo thailandese applicherà sia danni punitivi che sanzioni penali in caso di violazione della riservatezza e di mancato rispetto degli standard di proprietà intellettuale. L'era digitale ha fortemente influenzato il modo in cui i dati e i relativi interessi vengono gestiti in tutto il mondo e la Thailandia non è l'unico Paese a dotarsi di una nuova legge sulla protezione dei dati.

Le sanzioni possono essere severe come una multa salata o fino a un anno di reclusione, soprattutto nel caso di violazioni di dati molto sensibili (ad esempio, la salute pubblica) o di grandi dimensioni. Ricordiamo che questa legge è un decreto reale e ha lo scopo di preparare la Thailandia a soddisfare gli standard internazionali.

Riassunto

Se siete vittime di una violazione o di una fuga di dati personali, non esitate a contattarci. Juslaws & Consult è sempre qui per proteggere i vostri interessi.   

Potreste essere interessati alle seguenti risorse:
Costituite la vostra società tailandese con BOI Thailandia
Parlare con un avvocato specializzato in licenze commerciali estere
Tutto quello che c'è da sapere su - Registrazione della società in Thailandia
Affari e commercio
'
Avviare un'attività commerciale con la cannabis in Thailandia
'
Ufficio di rappresentanza
'
Collaborazioni
'
TAFTA
'
JTEPA
'
Joint Venture
'
Centri di commercio internazionale (ITC)
'
Sede internazionale (IHQ)
'
Licenza di fabbrica
'
Filiale
'
Compagnia del Trattato di Amity degli Stati Uniti
'
Avviare un'attività commerciale con la cannabis in Thailandia
'
Ufficio di rappresentanza
'
Collaborazioni
'
TAFTA
'
JTEPA
'
Joint Venture
'
Centri di commercio internazionale (ITC)
'
Sede internazionale (IHQ)
'
Licenza di fabbrica
'
Filiale
'
Compagnia del Trattato di Amity degli Stati Uniti
'
Registrazione dell'azienda in Thailandia
'
Registrazione BOI
'
Licenza commerciale estera
'
Dogana tailandese e zona franca
'
Permesso di lavoro in Thailandia
'
Visto in Thailandia
'
Due diligence aziendale
'
Registrazione del marchio
'
Ristrutturazione aziendale e liquidazione del debito
Vedere di più
Siamo qui per aiutarvi
Compila il modulo e ti contatteremo il prima possibile.
Seleziona il ramo
Richiesta inviata
Grazie per averci contattato
Ti contatteremo il prima possibile

Ti preghiamo di lasciarci fino a 24 ore
per risponderti 
Team di servizio al cliente
Ops! Qualcosa è andato storto durante l'invio del modulo.
Navigazione
'
Casa
'
Contenzioso civile
'
Contenzioso penale
'
Affari e commercio
'
Proprietà e investimenti
'
ADR e arbitrato
'
Tassazione
'
Politica sulla privacy
'
Contattateci
Premi e affiliazioni
Ufficio di Bangkok
140 One Pacific Place, suite 1905-1907, 19° piano, Sukhumvit Road, quartiere Klong Toey, Bangkok 10110, Thailandia
+66 94 218 4278
+66 2 114 3232
+66 2 254 4117
inquiries@juslaws.com
+66 95 248 4292 - 24 ore
legal@juslaws.com
property@juslaws.com
Ufficio di Phuket
The Royal Place 96/66 Moo 1, Kathu, Kathu, Phuket 83120, Thailandia
+66 94 218 4278
+66 2 114 3233
+66 7 630 4353
inquiries@juslaws.com
+66 95 248 4292 - 24 ore
legal@juslaws.com
property@juslaws.com
© 2024, Juslaws & Consult Co. Tutti i diritti riservati.
Sito web di Upmedio