La conformità alla privacy in Indonesia

Posted by Written by Hardy Salim Reading Time: 4 minutes

Con l’attuazione della Legge sulla protezione dei dati personali n. 27 del 2022 (“Legge PDP“), sia i responsabili del trattamento dei dati personali che gli incaricati del trattamento dei dati personali sono tenuti a fornire una notifica diretta agli interessati, dimostrando trasparenza organizzativa nella gestione dei dati personali. Questa notifica, comunemente nota come informativa sulla privacy, è in genere accessibile sul sito internet del responsabile del trattamento dei dati personali o dell’incaricato del trattamento dei dati personali, con il nome di “informativa sulla privacy” o “policy sulla privacy”.

Un’informativa sulla privacy funge da documento ufficiale informando i visitatori sull’utilizzo dei loro dati ed elencando i loro diritti in materia di privacy dei dati. Allo stesso tempo, un’informativa sulla privacy funziona come documento interno che regola le procedure dell’organizzazione per l’implementazione della protezione dei dati personali. Tale informativa elenca le linee guida per i dipendenti sulla salvaguardia dei dati personali di clienti o terzi.

Sebbene ci siano differenze significative tra le funzioni e gli obiettivi, nonché nei contenuti di un’informativa sulla privacy e di un avviso sulla privacy, i termini possono creare confusione e sono spesso utilizzati in modo intercambiabile. Nonostante questa confusione, è importante che i titolari del trattamento e i responsabili del trattamento dei dati personali considerino entrambi i documenti come prassi ottimali per la conformità alla legge sulla protezione dei dati personali (PDP) e per garantire la tutela dei diritti alla privacy dei soggetti interessati.

Requisiti per le informative sulla privacy in Indonesia

Come accennato in precedenza, la legge PDP delinea gli obblighi dei responsabili del trattamento dei dati personali e degli incaricati del trattamento dei dati personali di informare gli interessati attraverso la redazione di un’informativa sulla privacy. La legge PDP specifica le informazioni minime da includere in un’informativa sulla privacy, tra cui:

  • La liceità del trattamento dei dati personali;
  • La finalità del trattamento dei dati personali;
  • La tipologia e la pertinenza dei dati personali oggetto di trattamento;
  • Il periodo di conservazione dei documenti contenenti i dati personali;
  • I dettagli relativi alle informazioni raccolte;
  • Il periodo in cui i dati personali sono trattati; e
  • I diritti degli interessati.

Inoltre, il Governo indonesiano ha presentato un disegno di legge sul regolamento governativo di implementazione della legge PDP, che elabora ulteriormente le informazioni minime richieste in un’informativa sulla privacy. Queste informazioni includono:

  • Identità del responsabile del trattamento dei dati personali e/o dell’incaricato del trattamento dei dati personali;
  • La fonte di raccolta e finalità dell’invio dei dati personali;
  • Il motivo del trattamento dei dati personali;
  • Le finalità del trattamento dei dati personali;
  • La tipologia di dati personali;
  • La base giuridica di riferimento per l’utilizzo dei dati personali;
  • Il periodo di utilizzo dei dati personali;
  • Il periodo di conservazione dei dati personali;
  • Il periodo di tempo in cui i dati personali saranno distrutti;
  • Le modalità di conservazione e gestione dei dati personali;
  • Le informazioni sul soggetto che utilizzerà i dati nel caso in cui il responsabile del trattamento dei dati personali coinvolga l’incaricato del trattamento dei dati personali;
  • Il meccanismo di consenso e revoca del consenso al trattamento di dati personali, che si basa sul consenso esplicito valido dell’interessato e sull’adempimento degli obblighi contrattuali;
  • Il meccanismo di ottenimento dell’accesso e/o delle copie dei dati personali;
  • Il meccanismo di presentazione delle obiezioni;
  • I meccanismi di accesso, copia, verifica e correzione dei dati personali;
  • Le misure di sicurezza per la protezione dei dati personali.

È compito dei responsabili e degli incaricati del trattamento dei dati personali assicurare che le informative sulla privacy siano facilmente accessibili ai soggetti interessati. Questo obbligo è valido sia prima che durante il trattamento dei dati personali. Inoltre, qualora ci fossero modifiche alle informazioni fornite, il responsabile del trattamento deve informare l’interessato prima dell’attuazione di tali cambiamenti.

Requisiti della policy sulla privacy in Indonesia

Sebbene la legge PDP attualmente non imponga esplicitamente l’implementazione di una policy sulla privacy per i responsabili e gli incaricati del trattamento dei dati personali, l’attuale proposta di legge governativa sull’attuazione della legge PDP richiede sia ai responsabili del trattamento dei dati personali che agli incaricati del loro trattamento lo sviluppo di una politica interna, di una procedura e/o di una linea guida per la gestione delle richieste degli interessati in merito ai loro diritti.

Nonostante l’assenza di un requisito specifico nella legge PDP, sia i responsabili del trattamento dei dati personali che gli incaricati del loro trattamento dovrebbero stilare una politica interna sulla privacy. Tale misura può garantire l’adempimento dei diritti dell’interessato come previsto dalla Legge PDP. È inoltre uno strumento essenziale per le organizzazioni che intendono richiedere la certificazione ISO 27701, uno standard internazionale che definisce i sistemi di gestione e i requisiti per il trattamento dei dati personali.

Il formato della policy sulla privacy può variare in base agli standard dell’organizzazione, ma dovrebbe includere, almeno:

  • Scopo: indicazione chiara degli obiettivi di privacy dell’organizzazione e del modo in cui l’informativa contribuisce al loro raggiungimento.
  • Ambito: definizione dei limiti del criterio e specifica delle persone o entità a cui si applica.
  • Rischi e responsabilità: elenco dei ruoli e delle responsabilità in materia di privacy e protezione dei dati all’interno dell’organizzazione. Questa sezione dovrebbe chiarire le conseguenze delle violazioni delle politiche sulla conformità e sulle operazioni aziendali, comprese le potenziali azioni disciplinari per il personale che non adempie alle proprie responsabilità.

La policy sulla privacy deve essere pubblicata e comunicata in modo efficace all’interno dell’organizzazione per garantire che tutti i dipendenti e le parti interessate siano consapevoli delle loro responsabilità e degli obblighi in essa inclusi.

Come preparare un’informativa sulla privacy e una policy sulla privacy

Se l’utente è impegnato in attività di trattamento dei dati personali in qualità di responsabile del trattamento dei dati personali o di incaricato del trattamento dei dati personali, esistono diversi approcci per sviluppare un’Informativa sulla privacy e una policy sulla privacy:

  • Interazione con consulenti esterni

Richiedere l’assistenza di consulenti esterni può semplificare il processo di creazione di un’Informativa sulla privacy e di una policy sulla privacy in conformità con la legge. I consulenti adatteranno le soluzioni alle esigenze aziendali specifiche, assicurando che i documenti risultanti rispettino tutte le relative leggi e regolamenti indonesiani.

  • Utilizzo di un modello

Utilizzare modelli forniti da consulenti o da altre fonti affidabili, consentono di personalizzarli in base alle proprie esigenze. Questo metodo consente di risparmiare tempo e fatica fornendo un quadro in linea con i requisiti legali, riducendo il rischio di non conformità alla legge PDP e ad altre normative applicabili.

  • Fai-da-te

Per coloro che preferiscono un approccio pratico, è possibile creare un’informativa o un policy sulla privacy partendo da zero. È però essenziale assicurarsi che vengano incluse tutte le informazioni legalmente necessarie. Questo può essere ottenuto facendo riferimento a fonti affidabili e rimanendo informati sui requisiti legali in vigore per evitare violazioni involontarie della legge PDP o di altre normative.