Secondo studi recenti, 162 Paesi hanno promulgato leggi sulla privacy dei dati; in Tailandia, tale legge è il Personal Data Protection Act(PDPA).
Il PDPA della Tailandia si applica alle aziende sia all'interno che all'esterno del Paese e conferisce ai singoli individui diritti sulle modalità di raccolta e utilizzo dei loro dati personali.
In questa guida scoprirete tutto quello che c'è da sapere sulla legge thailandese sulla protezione dei dati, compresi i soggetti a cui si applica, i requisiti e le sanzioni previste in caso di violazione.
- Che cos'è la legge thailandese sulla protezione dei dati personali (PDPA)?
- Termini e definizioni chiave del PDPA della Thailandia
- Cosa prevede la legge sulla protezione dei dati personali in Thailandia?
- Requisiti della legge tailandese sulla protezione dei dati personali
- Il PDPA thailandese e le leggi globali sulla privacy dei dati: Somiglianze e differenze
- Qual è l'impatto del PDPA thailandese sui consumatori?
- Qual è l'impatto del PDPA thailandese sulle imprese?
- Chi deve rispettare il PDPA thailandese?
- Come possono le aziende conformarsi al PDPA thailandese?
- Come viene applicato il PDPA in Thailandia?
- Multe e sanzioni ai sensi della legge thailandese sulla protezione dei dati personali
- In che modo Termly può contribuire alla conformità al PDPA della Thailandia?
- Esistono altre leggi sulla privacy in Thailandia?
- Riassunto
Che cos'è la legge thailandese sulla protezione dei dati personali (PDPA)?
La legge thailandese sulla protezione dei dati personali è la principale legge sulla protezione dei dati dei consumatori che protegge gli individui in Thailandia.
Descrive i diritti che gli individui hanno sulle loro informazioni personali, delinea le linee guida specifiche che gli enti devono seguire per raccogliere e utilizzare legalmente le informazioni dei consumatori ed elenca le sanzioni in caso di violazione di tali requisiti.
Quando è entrato in vigore il PDPA della Thailandia?
Firmata nel 2019, la legge sulla protezione dei dati personali della Thailandia è entrata ufficialmente in vigore il 1° giugno 2022.
Termini e definizioni chiave del PDPA della Thailandia
Per aiutarvi a capire come conformarvi al PDPA thailandese, abbiamo incluso le definizioni di alcuni termini chiave così come appaiono nella traduzione inglese della legge:
Cosa prevede la legge sulla protezione dei dati personali in Thailandia?
Il PDPA thailandese riguarda le informazioni personali delle persone fisiche in Thailandia.
La direttiva copre anche la raccolta e il trattamento dei dati personali da parte di responsabili o incaricati del trattamento con sede in Thailandia, indipendentemente dalla provenienza dei dati raccolti.
Requisiti della legge tailandese sulla protezione dei dati personali
Le imprese che si conformano al PDPA thailandese devono rispettare diversi requisiti.
Basi legali per il trattamento dei dati
Ai sensi del PDPA thailandese, le entità possono legalmente trattare i dati personali per i seguenti motivi:
Consenso
Secondo la legge thailandese sulla privacy dei dati, il consenso deve essere dato esplicitamente in una dichiarazione scritta o, quando possibile, per via elettronica.
Quando richiede il consenso dell'utente, l'entità coperta deve fornire una notifica o un'informativa sul trattamento dei dati.
l'utente deve quindi acconsentire liberamente al trattamento e conservare il diritto di revocare facilmente il consenso in qualsiasi momento.
Nomina di un responsabile della protezione dei dati (DPO)
Il PDPA della Tailandia prevede che gli enti nominino un responsabile della protezione dei dati, incaricato di:
- Fornire consulenza agli enti per la conformità al PDPA della Tailandia;
- Indagare se il responsabile del trattamento e/o l'incaricato del trattamento rispettano pienamente la legge;
- Coordinarsi con le autorità di regolamentazione che applicano la legge, se necessario.
- Mantenere la riservatezza su tutti i dati personali acquisiti durante l'attività di DPO.
I responsabili del trattamento e gli incaricati del trattamento devono inoltre fornire agli utenti le informazioni di contatto per il loro DPO.
Obblighi di conservazione dei dati
Le entità devono informare gli utenti sulla durata di conservazione dei dati al momento della raccolta o prima di essa.
Se non è possibile fornire una data, l'ente deve spiegare il processo utilizzato per determinare la durata di conservazione dei dati.
Trattamento di categorie speciali di dati personali
Per il trattamento di categorie particolari di dati - come i dati personali sensibili - l'ente deve ottenere il consenso esplicito dell'interessato.
Tuttavia, i responsabili del trattamento dei dati possono raccogliere informazioni relative ai precedenti penali se autorizzati da un'autorità ufficiale.
Obblighi contrattuali
I responsabili del trattamento e gli incaricati del trattamento ai sensi del PDPA tailandese devono stipulare un accordo contrattuale che richiede a entrambe le parti di seguire tutti i requisiti delineati dalla legge.
Parte dell'accordo deve includere la manutenzione dei registri e delle attività relative ai dati personali e la conformità alle norme stabilite dal Comitato per la protezione dei dati personali (PDPC).
Il PDPA thailandese e le leggi globali sulla privacy dei dati: Somiglianze e differenze
In tutto il mondo esistono diverse leggi sulla privacy, tra cui le seguenti:
- La legge sulla privacy dei consumatori della California(CCPA)
- Il Regolamento generale sulla protezione dei dati (GDPR)
- Legge argentina sulla protezione dei dati personali(PDPA Argentina)
- Legge generale sulla protezione dei dati(LGPD) del Brasile
- Legge canadese sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA)
- La legge sudafricana sulla protezione delle informazioni personali(POPIA)
- Legge sulla privacy dell'Australia del 1988(la legge sulla privacy)
- Legge sulla privacy della Nuova Zelanda 2020
Nella tabella seguente è possibile confrontare il PDPA della Tailandia con le altre leggi globali sulla privacy.
| Legge sulla privacy dei dati | Richiede il consenso opt-in* | Obbligo di pubblicare un'informativa sulla privacy | Delinea gli obblighi contrattuali con i terzi | Le aziende sono responsabili della sicurezza dei dati | Ha requisiti specifici per i trasferimenti internazionali di dati | Richiede linee guida aggiuntive per le categorie di informazioni sensibili (speciali). |
| Thailandia PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentina PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| GDPR | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Legge sulla privacy 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Legge sulla privacy 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Con alcune eccezioni per alcune leggi.
Qual è l'impatto del PDPA thailandese sui consumatori?
Il PDPA thailandese ha un impatto sui consumatori, garantendo loro alcuni diritti sulle modalità di raccolta e utilizzo dei loro dati personali, tra cui il diritto di:
- Accedere ai propri dati personali
- Ottenere una copia portatile dei propri dati
- Rettificare i dati incompleti che li riguardano
- Cancellare o far de-identificare da un responsabile del trattamento le proprie informazioni
- Rinunciare a determinate attività di trattamento dei dati, tra cui il marketing diretto.
- Ritirare il consenso in qualsiasi momento
- Presentare un reclamo a un'autorità di controllo dei dati
Gli utenti hanno anche il diritto di essere informati su quali dati vengono raccolti su di loro, sul motivo per cui vengono raccolti e sul periodo di conservazione di tali dati.
A chi si applica il PDPA della Thailandia?
La legge sulla protezione dei dati personali si applica ai dati di qualsiasi persona fisica vivente in Thailandia.
Tuttavia, qualsiasi dato raccolto e utilizzato in un contesto domestico o personale è esente.
Qual è l'impatto del PDPA thailandese sulle imprese?
Il PDPA thailandese ha un impatto sulle aziende in molti modi, oltre alle basi legali e ai requisiti di conservazione dei dati precedentemente menzionati, anche per quanto riguarda la privacy e le politiche sui cookie.
In che modo il PDPA della Thailandia influisce sulla mia politica sulla privacy?
Secondo il PDPA thailandese, le aziende devono informare le persone sui seguenti dettagli prima o al momento della raccolta dei dati:
- Lo scopo della raccolta dati
- Il periodo di conservazione
- I diritti che l'individuo ha sulle proprie informazioni
Un modo semplice per soddisfare queste indicazioni è quello di presentare agli utenti un'informativa sulla privacy che soddisfi questi requisiti di notifica.
Una volta che le persone sono già state informate della raccolta, non devono più ricevere tale avviso.
In che modo il PDPA della Thailandia influisce sulla mia politica sui cookie?
Il PDPA della Tailandia influisce sulla vostra politica sui cookie perché gli utenti tutelati dalla legge hanno il diritto di essere informati della raccolta dei dati al momento della raccolta o prima di essa, e i cookie di Internet raccolgono dati personali dagli utenti.
Dovete assicurarvi che i vostri utenti siano consapevoli di quali cookie utilizza il vostro sito web, di cosa fanno e del motivo per cui li utilizzate prima che vengano inseriti nei loro browser.
Per soddisfare questo requisito, è necessario presentare ai propri utenti un'accurata politica sui cookie.
Chi deve rispettare il PDPA thailandese?
Tutte le aziende in Thailandia che raccolgono ed elaborano dati personali devono rispettare la legge sulla protezione dei dati personali.
Anche le aziende al di fuori della Thailandia che offrono beni o servizi a persone del Paese e ne monitorano il comportamento online devono rispettare la legge, indipendentemente dal fatto che si verifichi una transazione finanziaria.
Chi è esente dal PDPA thailandese?
Le seguenti entità sono esenti dall'obbligo di rispettare il PDPA thailandese
Come possono le aziende conformarsi al PDPA thailandese?
Per conformarsi al PDPA thailandese, le aziende devono aggiornare le loro politiche sulla privacy e sui cookie per soddisfare tutti i requisiti per informare correttamente gli utenti sulla raccolta dei dati.
Implementare una gestione del consenso platform con un banner di consenso correttamente configurato consente di soddisfare i requisiti di opt-in e opt-out previsti dalla legge.
Infine, per facilitare la ricezione e la risposta alle richieste degli utenti di far valere i propri diritti, inserite nel vostro sito un modulo di richiesta di accesso ai dati (DSAR).
Come viene applicato il PDPA in Thailandia?
In Thailandia, il PDPA è applicato dal Comitato per la protezione dei dati personali (PDPC).
Il PDPC elabora e rilascia anche sottoregolamenti e linee guida per la legge.
Possono stabilire come gli enti debbano interpretare la conformità al PDPA, emettere notifiche a coloro che violano la legge e stabilire regole o linee guida future.
Multe e sanzioni ai sensi della legge thailandese sulla protezione dei dati personali
La violazione del PDPA thailandese può comportare multe fino a 5 milioni di THB (145.000 dollari) e sanzioni penali.
Le aziende potrebbero anche essere costrette a cessare tutte le attività di trattamento dei dati.
In che modo Termly può contribuire alla conformità al PDPA della Thailandia?
Termly offre una gestione del consenso PlatformCMP) che le aziende possono configurare per soddisfare i requisiti di consenso opt-in e opt-out richiesti dal PDPA thailandese.
Il nostro team sta inoltre lavorando agli aggiornamenti del nostro generatore di informativa sulla privacyin modo da includere le informazioni necessarie a soddisfare i requisiti di notifica previsti dalla legge sulla privacy della Tailandia.
Il nostro Generatore, controllato dal nostro team legale e da esperti in materia di privacy, pone semplici domande sulla vostra azienda e sulle attività di trattamento dei dati e costruisce una politica unica in base alle vostre risposte.
Tornate a trovarci per sapere quando questi aggiornamenti saranno disponibili.
Esistono altre leggi sulla privacy in Thailandia?
Sebbene il PDPA sia la legge più importante sulla privacy dei dati in Thailandia, esistono alcuni altri atti legislativi, tra cui i seguenti:
Riassunto
La legge thailandese sulla protezione dei dati personali è una legge completa che offre agli individui del Paese un maggiore controllo sulle modalità di raccolta, elaborazione e utilizzo dei loro dati.
Se siete soggetti al PDPA, aggiornate la vostra politica sulla privacy per soddisfare i requisiti di notifica delineati dalla legge.
Con risorse come il nostro generatore di informativa sulla privacyla conformità alle leggi sulla privacy non è mai stata così semplice.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
