La protezione dei dati personali a Singapore

Posted by Written by Ayman Falak Medina Reading Time: 2 minutes

Il Personal Data Protection Act (PDPA) di Singapore fornisce una protezione di base per i dati personali. Il PDPA protegge i dati delle persone e regola le modalità di raccolta, l’utilizzo e la divulgazione dei dati personali da parte delle imprese.

Emanato per la prima volta nel 2012, il PDPA è stato aggiornato nel 2020 e condivide molte delle disposizioni previste dalle leggi relative al GDPR dell’Unione Europea. Inoltre, il PDPA prevede l’istituzione del registro nazionale Do Not Call (lett. “non chiamare”) al quale le persone possono registrarsi per evitare le chiamate di telemarketing indesiderate.

Il PDPA ha un vasto campo di applicazione, che si estende a privati, aziende, enti pubblici e dipendenti. I rigorosi obblighi in materia di protezione dei dati sottolineano la trasparenza, la responsabilità e il consenso nella raccolta, nell’uso e nella divulgazione dei dati personali. Dai requisiti di notifica e consenso alla limitazione delle finalità e agli standard di accuratezza, le imprese sono tenute a mantenere i massimi livelli di sicurezza e integrità dei dati.

Definizione di dati personali

Il PDPA definisce i dati personali come qualsiasi dato che possa essere utilizzato per identificare un individuo, o che possa essere derivato dai dati a cui l’organizzazione ha accesso.

Ambito di applicazione del PDPA

Il PDPA si applica generalmente a:

  • Ogni individuo che agisce a titolo personale o nazionale;
  • Informazioni di contatto aziendale come nome, posizione, e-mail aziendale, indirizzo aziendale e altre informazioni simili;
  • Ogni agenzia pubblica che raccoglie, utilizza o divulga dati personali; e
  • Ogni individuo che agisce in qualità di dipendente aziendale.

Obblighi in materia di protezione dei dati

Responsabilità

Le imprese devono rendere disponibili, su richiesta, le informazioni sulle proprie politiche interne di protezione dei dati e sul procedimento di reclamo. Devono inoltre designare un responsabile della protezione dei dati (Data Protection Officer DPO).

Le imprese devono adottare un approccio di gestione dei dati dei propri clienti basato sulla responsabilità. Ciò contribuisce a rafforzare la fiducia di un’impresa da parte dei propri utenti e a rendere l’azienda più competitiva.

Avviso/Notifica

Le imprese devono informare le persone delle quali intendono raccogliere, utilizzare o divulgare i dati.

Consenso

Le imprese possono divulgare solo i dati personali per i quali l’individuo ha dato il proprio consenso. Ciò deve avvenire con un ragionevole preavviso e l’individuo deve essere informato delle conseguenze del ritiro del suo consenso.

Obbligo di limitazione delle finalità

Le aziende devono essere trasparenti nel comunicare alle persone il motivo per cui i loro dati vengono raccolti, le modalità di utilizzo e di divulgazione dei dati personali.

Accuratezza

Le aziende devono garantire che i dati personali raccolti siano accurati e completi. Questo è particolarmente importante se i dati devono essere divulgati ad organizzazioni terze.

Protezione

Le imprese devono garantire che le loro disposizioni in materia di sicurezza dei dati siano conformi agli standard più elevati di Singapore, per impedire qualsiasi accesso, raccolta o divulgazione non autorizzata degli stessi.

Limiti alla conservazione

I dati personali possono essere conservati solo per un certo periodo trascorso il quale devono essere cancellati in modo permanente.

Limiti al trasferimento

I dati personali non possono essere trasferiti al di fuori di Singapore in altro territorio che non abbia gli stessi standard stabiliti dal PDPA.

Notifica di violazione dei dati

In caso di violazione dei dati, le aziende sono tenute ad informare le persone i cui dati sono stati violati, soprattutto nel caso in cui tale violazione possa causare danni significativi alle persone stesse.