Legge vietnamita sulla protezione dei dati personali: ultimi sviluppi e approfondimenti

Posted by Written by Giulia Interesse Reading Time: 7 minutes

Il Vietnam ha annunciato l’imminente pubblicazione della Legge sulla protezione dei dati personali, segnando un passo importante verso il rafforzamento della privacy dei dati e l’allineamento delle normative per un quadro legislativo più coeso. Questa iniziativa, insieme all’attuazione del decreto sulla protezione dei dati personali del Vietnam di luglio 2023, dimostra l’impegno del Paese nel rispondere alle sfide relative alla protezione dei dati e nel promuovere la fiducia nell’ambiente digitale nazionale.

Il 29 febbraio 2024, il Ministero della Pubblica Sicurezza (MPS) del Vietnam ha annunciato l’introduzione della Legge sulla protezione dei dati personali (di seguito, “Legge PDP”). Questa iniziativa, segnata dalla pubblicazione di un dossier sul sito ufficiale del Governo, mira a rafforzare le misure di privacy dei dati all’interno del Paese.

L’obiettivo della proposta di Legge PDP è quello di stabilire un solido quadro regolamentare per garantire una gestione, elaborazione e utilizzo sicuro dei dati personali. In tal modo, la Legge PDP mira a sostenere i diritti dei cittadini alla privacy e a rafforzare la fiducia nell’ambiente digitale in rapida evoluzione del Vietnam.

Cosa c’è di nuovo nell’annuncio della Legge PDP?

L’annuncio sottolinea gli importanti progressi del Vietnam nel migliorare la protezione dei dati personali. Nonostante non sia ancora stata pubblicata una bozza della nuova Legge PDP, il dossier rilasciato dal Governo include un rapporto completo che valuta sia le dinamiche sociali attuali relative alla protezione dei dati personali, nonché l’impatto delle politiche proposte nell’ambito della legge PDP del Vietnam.

Sebbene l’attenzione del dossier sia principalmente concentrata su considerazioni socio-politiche, il report e la valutazione dell’impatto approfondiscono anche questioni legislative fondamentali. Queste includono:

  • La definizione dei dati personali;
  • La definizione dei diritti dell’interessato; e
  • La definizione delle misure per la protezione dei dati.

A seguito della pubblicazione del dossier per la consultazione pubblica, il MPS intende raccogliere i feedback attraverso vari canali, tra cui workshop e conferenze. Queste iniziative mirano al coinvolgimento e ad una conoscenza maggiori da parte delle parti interessate.

L’introduzione della Legge PDP ha l’obbiettivo di risolvere i conflitti tra le normative esistenti, come il Decreto sulla protezione dei dati personali del Vietnam  (decreto n. 13/2023/ND-CP, di seguito “PDPD”) e altre leggi in materia di protezione dei dati personali. Questo allineamento dei quadri giuridici dovrebbe contribuire a creare un ambiente di protezione dei dati più coeso ed efficace.

Le parti interessate sono consapevoli che la stesura e l’emanazione della legge PDP potrebbe essere un processo lungo, che richiede dai due ai tre anni. Aggiornamenti sullo stato di avanzamento e sulle tempistiche dell’iter legislativo verranno forniti regolarmente.

Qual è il quadro giuridico vietnamita in materia di protezione dei dati?

In Vietnam, i privati godono dei diritti costituzionali alla privacy e alla protezione dei segreti personali. Prima di luglio 2023, le norme relative alla protezione dei dati personali potevano essere reperite facendo riferimento a leggi diverse, tra cui il Codice civile del 2015 e la Legge sulla sicurezza dei dati informatici n. 86/2015/QH13. Anche le leggi di settore hanno svolto un ruolo nel plasmare il panorama giuridico relativo alla protezione dei dati personali.

L’introduzione del PDPD nell’aprile 2023 segna una pietra miliare nel percorso della protezione dei dati del Vietnam, consolidando e rafforzando le normative precedentemente divise in più leggi. Dal 1° luglio 2023, il PDPD stabilisce requisiti rigorosi per le aziende e le organizzazioni che operano in Vietnam, introducendo diversi concetti e principi chiave. Il decreto richiede l’osservanza dei principi fondamentali della protezione dei dati, quali la legalità, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’accuratezza, l’integrità, la confidenzialità e la responsabilità.

Il PDPD sottolinea inoltre l’importanza della notifica, del consenso e dei diritti dell’interessato. Gli interessati devono essere informati sulla raccolta e l’utilizzo dei loro dati personali e il loro consenso deve essere ottenuto esplicitamente. Il regolamento vieta la raccolta, il trasferimento o la vendita di dati personali senza il consenso dell’interessato e gli interessati hanno il diritto di accedere e rivedere i propri dati personali.

Quali sono i principali requisiti attuali di conformità in materia di protezione dei dati personali in Vietnam?

In Vietnam, fino alla futura ufficializzazione della legge PDP, il Decreto PDPD è attualmente lo strumento principale che regola la protezione dei dati personali.

In particolare, il PDPD elenca i principali obblighi di conformità per le organizzazioni ed i privati coinvolti nel trattamento dei dati personali nel Paese. La conformità al PDPD è di fondamentale importanza per le organizzazioni che operano in Vietnam e che gestiscono i dati personali. Il mancato rispetto delle norme contenute nel PDPD prevede ripercussioni legali, comprese sanzioni amministrative o procedimenti giudiziari per gravi violazioni ai sensi del Codice penale. Rispettare queste norme assicura anche la protezione dei diritti alla privacy delle persone e promuove la fiducia nelle pratiche di trattamento dei dati, contribuendo così a un ambiente digitale più sicuro e protetto.

Le seguenti sezioni evidenziano i principali requisiti di conformità per le organizzazioni e le entità che gestiscono dati personali in Vietnam, ai sensi del PDPD.

Ruoli nel trattamento dei dati personali

Il PDPD ha introdotto una chiara distinzione tra i vari ruoli coinvolti nel trattamento dei dati, assegnando a ciascuno specifiche responsabilità:

  • Titolare del trattamento dei dati: assume un ruolo fondamentale, essendo un’organizzazione o un individuo investito dell’autorità di determinare lo scopo e la metodologia del trattamento dei dati personali. Le sue responsabilità comprendono il rispetto dei requisiti in materia di protezione dei dati, tra cui l’ottenimento del consenso preventivo degli interessati per tutte le attività di gestione dei dati e la notifica tempestiva di eventuali violazioni dei dati personali al MPS.
  • Responsabile del trattamento dei dati: si riferisce a un’entità o a un individuo incaricato del trattamento dei dati personali per conto del titolare del trattamento, attraverso un accordo contrattuale. Tra i suoi compiti vi è quello di notificare al titolare eventuali violazioni e di trattare i dati personali secondo i termini concordati nel contratto.
  • Incaricato del controllo e dell’elaborazione dei dati: è un ruolo trasversale che combina elementi di responsabilità del titolare del trattamento e del responsabile del trattamento dei dati.
  • Terza parte: comprende persone fisiche o giuridiche che sono distinte dall’interessato, dal titolare del trattamento, dal responsabile del trattamento o dall’incaricato del trattamento e del controllo dei dati, e che sono autorizzate a trattare i dati personali secondo condizioni specifiche. Queste entità sono obbligate ad archiviare i dati personali in modo appropriato e ad adottare misure di protezione dei dati secondo quanto previsto dalla legge. Le aziende devono distinguere con precisione i loro ruoli nella gestione dei dati per delineare efficacemente le responsabilità corrispondenti.

Consenso dell’interessato

Il PDPD stabilisce che l’ottenimento del consenso preventivo da parte delle persone fisiche è obbligatorio per tutte le attività di trattamento dei dati, salvo specifiche eccezioni. Per essere valido, il consenso dell’interessato deve essere dato liberamente e con piena comprensione del tipo di dati personali raccolti, delle finalità del loro trattamento, delle entità coinvolte nel processo, nonché dei diritti e delle responsabilità dell’interessato stesso.

Il consenso esplicito può assumere varie forme, tra cui accordi scritti, conferme verbali, la spunta di caselle di consenso o qualsiasi altra azione che indichi il consenso. È importante evidenziare che il silenzio o la mancata risposta da parte dell’interessato non vengono considerati come consenso. In caso di controversia, la prova del consenso dell’interessato spetta al titolare del trattamento e alla parte responsabile del trattamento dei dati.

Valutazione dell’impatto sul trattamento dei dati personali

Ogni titolare del trattamento e parte responsabile del trattamento dei dati deve creare ed aggiornare i Fascicoli di valutazione d’impatto sin dall’inizio del trattamento dei dati personali. Questi fascicoli, che vengono inoltrati al MPS (dipartimento A05) per la valutazione, dovrebbero comprendere dettagli completi, quali gli obiettivi e le categorie di dati trattati, i destinatari (comprese le entità estere), i casi di trasferimenti transfrontalieri, la durata della conservazione dei dati, le misure adottate per la protezione dei dati, e una valutazione delle potenziali ramificazioni e delle strategie di contenimento.

I responsabili del trattamento potrebbero anche essere obbligati a rispettare tali norme, se previsto dagli accordi con i titolari del trattamento.

Requisiti per il trasferimento transfrontaliero dei dati

In base al PDPD, i requisiti per il trasferimento transfrontaliero di dati prevedono che i dati personali dei cittadini vietnamiti possono essere trasferiti all’estero solo sotto specifiche condizioni. I soggetti responsabili di tali trasferimenti, inclusi i titolari del trattamento, le parti responsabili del controllo e del trattamento dei dati, i responsabili del trattamento e le terze parti, sono tenuti a compilare un dossier dettagliato che illustra la valutazione dell’impatto del trasferimento.

Tale documento deve contenere informazioni sui tipi di dati personali trasferiti, sulle finalità previste del trattamento e sulle responsabilità che vincolano il cedente e il destinatario. Il dossier deve essere facilmente accessibile per il controllo da parte del MPS e presentato entro un periodo di 60 giorni dall’inizio del trattamento dei dati. Se ritenuto insufficiente, il MPS può richiedere un ulteriore completamento della pratica. Dopo il trasferimento dei dati, il cedente è tenuto a fornire al MPS comunicazione scritta e informazioni di contatto pertinenti.

Il MPS si riserva il diritto di sospendere qualsiasi trasferimento transfrontaliero che non rispetti queste disposizioni o che possa comportare dei rischi per gli interessi o la sicurezza nazionale del Vietnam, o per la privacy di dati personali dei cittadini vietnamiti.

Obbligo di notifica in caso di violazione dei dati personali

In caso di violazione dei dati personali, il PDPD ne impone una notifica immediata. Il responsabile del trattamento informa il titolare del trattamento, il quale, insieme al titolare del trattamento dei dati, deve poi informare il MPS entro 72 ore dalla scoperta della violazione.

In caso contrario, è necessario fornire i motivi del ritardo. Sebbene non siano ancora in vigore sanzioni complete, le violazioni possono comportare multe da 10 milioni a 70 milioni di VND o procedimenti giudiziari per gravi violazioni in base al codice penale.

Previsioni

Le previsioni per il 2024 riguardanti i dati in Vietnam suggeriscono una trasformazione significativa nel panorama economico del Paese, in particolare in settori come l’e-commerce, il fintech, la tecnologia sanitaria e la produzione intelligente. Poiché le imprese si affidano sempre più a soluzioni basate sui dati, si prevede che la crescita di questi settori contribuirà in modo significativo alla produzione complessiva dell’economia. Si prevede che gli accordi transfrontalieri e le iniziative incentrate sullo scambio di conoscenze faciliteranno il trasferimento tecnologico e amplieranno le opportunità di accesso al mercato, alimentando ulteriormente la crescita dell’economia dei dati del Vietnam.

Questa maggiore dipendenza dai dati sottolinea l’importanza fondamentale di solidi quadri giuridici per garantire la privacy e la sicurezza delle informazioni degli individui.

L’annuncio relativo alla legge PDP in Vietnam segna un fondamentale passo in avanti nell’impegno del Paese per la salvaguardia dei dati personali e il rafforzamento dei diritti alla privacy nell’era digitale. Questa iniziativa legislativa riflette l’approccio proattivo del Vietnam nell’affrontare le sfide in continua evoluzione della protezione dei dati, promuovendo in tal modo la fiducia nelle pratiche di gestione dei dati.

L’attuazione della legge PDP, inoltre, non solo rafforza i diritti individuali alla privacy, ma posiziona anche il Vietnam come attore chiave nell’economia digitale globale, promuovendo una crescita e una ricchezza sostenibili nel lungo termine.