Vietnam | Nuovo decreto sui servizi Internet e le informazioni online

9 Dicembre 2024

  • Vietnam
  • Information Technology
  • Investimenti esteri
  • Privacy e Trattamento dati

Il Governo del Vietnam ha emanato un nuovo decreto che regola i servizi internet e le informazioni online, che entrerà in vigore il 25 dicembre 2024. Il decreto n. 147/2024/ND-CP, promulgato il 9 novembre 2024, sostituisce il precedente decreto n. 72/2013/ND-CP e le sue modifiche.

Questa legislazione completa, che comprende oltre 200 pagine e 62 moduli allegati, affronta un’ampia gamma di argomenti relativi a Internet e all’online. Tra questi, i servizi internet, i nomi di dominio, la fornitura di informazioni transfrontaliere, i servizi di social network, i siti web di informazioni aggregate, i servizi di giochi online e i servizi di app store.

Disposizioni chiave

Fornitura di informazioni transfrontaliere

I fornitori di servizi offshore, compresi quelli che offrono servizi di social network e app store su base transfrontaliera, sono soggetti a requisiti più severi se affittano l’archiviazione dei dati in Vietnam o se raggiungono una soglia di 100.000 o più visite totali al mese dal Vietnam per sei mesi consecutivi. Questi fornitori devono:

  1. Comunicare all’Autorità per la radiodiffusione e l’informazione elettronica (ABEI) i propri dati di contatto.
  2. Monitorare e rimuovere i contenuti illegali
  3. Memorizzare e gestire i dati degli utenti come richiesto
  4. Autenticare gli account degli utenti dei social network utilizzando numeri di cellulare o numeri di identificazione vietnamiti.
  5. Presentare relazioni annuali e ad hoc all’ABEI.
  6. Gestire i reclami degli utenti

Solo i fornitori transfrontalieri che hanno comunicato all’ABEI i propri recapiti possono offrire servizi di live stream e di generazione di reddito. La mancata osservanza può comportare blocchi e sanzioni.

Reti sociali

Il Decreto 147 stabilisce regimi distinti per i servizi di social network offshore e onshore:

  1. I fornitori offshore che soddisfano la soglia di cui sopra devono comunicare all’ABEI le loro informazioni di contatto.
  2. I provider onshore che raggiungono 10.000 visite totali al mese per sei mesi consecutivi o 1.000 utenti regolari al mese devono ottenere una Licenza per Social Network.
  3. Altri fornitori onshore con traffico ridotto devono ottenere un certificato di notifica dall’ABEI.

Il decreto regola anche le attività di livestream, stabilendo le condizioni per i fornitori di servizi di social network per offrire funzioni di livestream e per gli account di social network per condurre attività di livestream.

Giochi online

Alle organizzazioni e agli individui stranieri è vietato fornire giochi online agli utenti dei servizi in Vietnam su base transfrontaliera. Per offrire tali servizi, devono creare un’impresa locale in Vietnam.

Si prevede che questo nuovo decreto avrà un impatto significativo sui fornitori di servizi onshore e offshore nei rispettivi settori e potrebbe rendere più severo il panorama normativo per i servizi Internet e la fornitura di informazioni online in Vietnam.

Are insurers liable for breach of the GDPR on account of their appointed intermediaries?

Insurers acting out of their traditional borders through a local intermediary should choose carefully their intermediaries when distributing insurance products, and use any means at their disposal to control them properly. Distribution of insurance products through an intermediary can be a fast way to distribute insurance products and enter a territory with a minimum of investments. However, it implies a strict control of the intermediary’s activities.

The reason is that Insurers in FOS can be held jointly liable with the intermediary if this one violates personal data regulation and its obligations as set by the GDPR (Regulation 2016/679 of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data).

In a decision dated 18 July 2019 , the CNIL (Commission Nationale Informatique et Libertés), the French authority in charge of personal data protection rendered a decision against ACTIVE ASSURANCE, a French intermediary, for several breaches of the GDPR.  The intermediary was found guilty and fined EUR 180,000 for failing to properly protect the personal data of its clients. Those were found easily accessible on the web by any technician well versed in data processing. Moreover, the personal access codes of the clients were too simple and therefore easily accessible by third parties.

Although in this particular case insurers were not fined by the CNIL, the GDPR considers that they can be jointly liable with the intermediary in case of breach of personal data. In particular, the controller is liable for any acts of the processor he has appointed, this one being considered as a sub-contractor (clauses 24 and 28 of the GDPR).

This illustrates the risks to distribute insurance products through an intermediary without controlling its activities. Acting through intermediaries, in particular for insurance companies acting from foreign EU countries in FOS under the EU Directive on freedom of insurance services (Directive 2016/97 of 20 January 2016 on insurance distribution) requires a strict control through enacting contractual dispositions whereas are defined:

  1. a clear distribution of the duties between insurer and distributor (who is controller/joint controller/processor ?) as regards technical means used for protecting personal data (who shall do/control what ?) and legal requirements (who must report to the authorities in case of breach of security/ who shall reply to requests from data owners?, etc.);
  2. the right of the insurer to audit the distributors’ technical means used for this protection at any time during the term of the contract. In addition to this, one should always keep in mind that this audit should be conducted efficiently by the insurer at regular times. As Napoleon rightly said: “You can govern from afar, but you can only administer closely”.

The concept of privacy by design has been around for a few decades. Although it has been referred to in studies since the 1970s and present in legislation since as far as the early 1990s, it was consolidated only in 2009 with the work of Ann Cavoukian, the Information & Privacy Commissioner of Ontario, Canada

 

This author defined the seven foundational principles of privacy by design: (i) to be proactive not reactive, preventative not remedial; (ii) privacy as the default setting; (iii) privacy embedded into design; (iv) full functionality – positive-sum, not zero-sum; (v) end-to-end security – full lifecycle protection; (vi) visibility and transparency – keep it open; and (vii) respect for user privacy – keep it user-centric.

 

After being adopted as a privacy standard by the International Data Protection and Privacy Commissioners in 2010, privacy by design was also included in the General Data Protection Regulation (GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council, of 27 April 2016). However, in the GDPR (article 25) it no longer remains as a mere principle. Instead, it has become a mandatory legal obligation and failure to comply can lead to severe administrative fines (article 83/4/a).

 

Regarding privacy by design, the GDPR establishes that the data controller shall implement the appropriate technical and organisational measures designed to implement data protection principles in an effective manner and to integrate the necessary safeguards into the processing. The appropriate technical and organisational measures are to be determined taking into account (i) the nature, scope, context and purpose of processing, (ii) the risks for rights and freedoms, (iii) the state of the art, and (iv) the cost of implementation.

 

Regarding privacy by default, the GDPR establishes that the controller shall implement the appropriate technical and organisational measures to ensure that, by default, (i) only the necessary data is processed, (ii) only to the necessary extent of processing, (iii) is only accessible by the necessary individuals, and (iv) is only stored by the necessary period of time.

 

Both privacy by design and privacy by default are established around the idea of the implementation of the appropriate technical and organisational measures to safeguard the personal data protection principles and rules. The GDPR provides some examples of these measures (such as pseudonymisation, encryption, anonymisation), but it is not a catalogue for these measures or other privacy enhancing technologies (PET) and the provided examples should not be seen as mandatory measures.

 

Clear guidance on privacy by design and by default is not to be found in the GDPR and it is a work in progress by all the community and parties involved. But the GDPR has the clear intention of impacting the core of the digital age system, reshaping its values regarding privacy.

 

The success of this ambition is uncertain, but some important challenges are already very clear, such as the role of the producers of products, services and applications, the integration of data protection principles in the design of User Experience (UX) and User Interface (UI) and also in the software development planning (agile and scrum, for instance).

 

In the meantime, examples of the real impact of privacy by design and by default are coming to light. In 2018, Valve changed the privacy settings of the users of the gaming platform Steam, making games owned private by default. As a direct consequence, the analytics activity provided by SteamSpy and other similar companies was severely damaged.

 

Privacy by design certainly is, for those closely involved in the design process of products, services and applications, one of the most interesting and challenging topics in personal data protection.

Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, in materia di “protezione” dei dati personali (di seguito il “Regolamento” o “GDPR”), strumento normativo comunitario che mira a rafforzare il diritto delle persone fisiche a veder protetti i propri dati personali, già elevato a “diritto fondamentale” nella Carta dei diritti fondamentali dell’Unione europea (Articolo 8 paragrafo 1) e nel Trattato sul funzionamento dell’Unione europea (Articolo 16 paragrafo 1).

Il Regolamento ha immediata applicazione nell’ordinamento italiano e non necessita di alcun recepimento da parte del legislatore nazionale. Le sue disposizioni prevalgono sulle leggi interne. Da un punto di vista pratico ciò significa che, in caso di contrasto tra una disposizione contenuta nel Regolamento ed una prevista nel “vecchio” Decreto Legislativo 196/2003, sarà la prima a prevalere.

Il GDPR si compone di 99 articoli di cui, solo alcuni, costituiscono delle novità ed hanno una specifica rilevanza per i titolari/gestori di strutture ricettive.

Sicuramente una prima novità è quella relativa al “consenso esplicito” per il trattamento dei dati “sensibili” e le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). È infatti necessario che il cliente manifesti un consenso distinto da quello relativo agli altri dati. Il consenso raccolto prima del 25 maggio 2018 resta valido solo se ha queste caratteristiche.

Ciò impone, ad esempio, al titolare dei dati di adeguare il proprio sito web, o le newsletter promozionali inviate ai propri clienti. Questi devono essere informati delle finalità per le quali vengono raccolti i dati e dei diritti che spettano loro. Per l’iscrizione alla newsletter dovrebbe essere necessaria unicamente la mail e qualora fossero richiesti altri dati, andranno specificate le finalità per le quali vengono domandati. Prima della richiesta di iscrizione il cliente dovrà rilasciare il proprio consenso e l’accettazione della privacy policy. L’informativa sulla privacy dovrà essere raggiungibile chiaramente dall’home page del sito. Per quanto concerne specificamente la newsletter, l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.

Sono state poi introdotte delle rilevanti modiche ai compiti del Titolare del trattamento dei Dati ed al Responsabile per il trattamento dei dati, entrambe figure che vengono in rilievo nelle strutture alberghiere. 

Il Titolare del trattamento dei dati deve ora: (i) essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento, (ii) fornire i dati di contatto del Responsabile della protezione dei dati, (iii) dichiarare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, (iv) specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, (v) specificare se il trattamento comporti processi decisionali automatizzati (anche la profilazione), e le conseguenze previste per l’interessato.

Il Responsabile per il trattamento dei dati (c.d. Data protection Officer – DPO), è invece il professionista (che può essere interno o esterno alla struttura) garante dell’osservazioni delle norme del GPDR e della gestione e trattamento dei dati.

Secondo la nuova normativa i compiti di detto soggetto consistono ora nella: (i) tenuta del registro dei trattamenti svolti (ex art. 30,paragrafo 2), e (ii) nell’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 Regolamento).

Il suo nome deve essere riportato nell’informativa che occorre consegnare al Cliente. Il suo rapporto con il titolare del trattamento è regolato obbligatoriamente da un contratto che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” ad una corretta gestione e trattamento dei dati. Il Responsabile può nominare a sua volta un “sub-responsabile” ma solo per limitate attività di trattamento, nel rispetto di quanto previsto nel suo contratto, e risponde dell’inadempimento del sub-responsabile.

Alla luce di tali disposizioni, le strutture alberghiere dovranno poi provvedere ad una più attenta valutazione del rischio derivante dal trattamento dei dati, approntare una dettagliata procedura in grado di monitorare costantemente l’idoneità del trattamento, provvedere tempestivamente a notificare una violazione della procedura di sicurezza che comporti la divulgazione anche accidentale dei dati, adeguare le proprie informative da consegnare al Cliente.

Merita, infine, di esser segnalato che le sanzioni per le violazioni al GDPR possono essere assai rilevanti e giungere fino al 4% del fatturato dell’impresa, ben più severe rispetto a quelle previste in precedenza. E’ quindi necessario prestare molta attenzione al rispetto del GDPR, in quanto una sua errata o carente applicazione può determinare gravi pregiudizi all’impresa.

L’autore di questo articolo è Giovanni Izzo.

The General Data Protection Regulation (EU regulation 2016/679) comes into force on May 25, 2018. It applies to all processing, whether automated or not. The most extraordinary part of the regulation, however, is its territorial field of application. Many believed that the virtual world had wiped out borders with the biggest players in the internet world having developed a quantity of arguments, in particular in tax matters, to escape from local legislation. Europe therefore decided to set the record straight. The message is clear, whether you are in America, in Asia or elsewhere, you must comply with the rules when processing the personal data of European residents. The high cost of the sanctions mean that this new legal framework must be taken very seriously. The maximum fine has been fixed at 4% of turnover for the preceding year, which is 2017 for any businesses that are sentenced in 2018. For example, the maximum risk for the GAFAs, if they do not comply with the Regulation, could be estimated as follows: for Amazon 7.1 billion for turnover of around 178 billion (higher than the profit…); for Apple, 5.6 billion for a turnover of around 141 billion; for Google, 4  billion for a turnover of around 100 billion and for Facebook, 1.28 billion for a turnover of around 32 billion (in dollars).

The limited territorial field of application of the preceding directive

European directive 95/46EC of October 24, 1995, transposed in France by law n° 2004-801 of August 6, 2004, updated the French data protection act (loi Informatique et Libertés) 78-17 of January 6, 1978.

The Directive may of course apply to Data Controllers who are not established on the territory of the European Union, but it obliges them to use a means of processing situated in the territory of the European Union.

It came to light that many processors were managing to avoid the European data protection regulations on the basis of the extraterritoriality of their processing.

For many years Google claimed that the data it collected in France and in Europe were not governed by French regulations but by Californian regulations since the company and its servers were based in California.

As the aim of the European Commission is to protect personal data, the new Regulation should rectify this shortcoming.

The extraterritorial field of application of the Regulation 

Starting from May 25, 2018, the European Regulation will be applicable to all processing of personal data for which the Data Controller or the Data Processor (in general the IT service provider) is established in the European Union, irrespective of whether or not the processing itself takes place within the European Union.  

The Regulation also provides for its application in cases where the Controller or Processor are not established in the European Union when the processing targets a data subject situated in the European Union, irrespective of the nationality of the person concerned.  

Controllers or Processors established in the European Union

The notion of establishment is not defined in the Regulation.  It has been interpreted extensively by the French and European courts, which give priority to a functional analysis based on the effective and real exercise of activity through a stable arrangement.

Establishment has already been judged to exist through the presence in the Member State concerned of a representative, a bank account and a letter box (CJEU October 1, 2015, Weltimmo).

Furthermore, the legal form of such an establishment is not decisive. Consequently, the processing of personal data carried out by a simple branch, which has no legal personality, by a non-European Controller, must be carried out in accordance with the Regulation.

Controllers or Processors not established in the European Union

When the Controller or Processor is not established in the European Union and has no establishment there, the Regulation applies when the processing relates to persons situated in the European Union and when the processing activities are linked to an offering or the monitoring of internet users in the 28 countries making up the European Union, comprising 520 million inhabitants.

  • (i) To the offering of goods or services destined to these persons, whether these services are free or paying services

The Regulation does not contain any definition of the offering of goods and services but it provides indications making it possible to characterise such an offering (whereas clause n°23), such as the use of the language or currency generally used in one or more Member States with the possibility of ordering goods and services in this language or even the mention of clients or users situated in the European Union.

However, the mere accessibility of a website, e-mail address or other contact details is insufficient to ascertain this intention.

In other words, it is necessary to check the intention of the Data Controller with regard to the persons concerned. Did he intend to offer goods or services to the persons concerned in the European Union or not?

  • (ii) To the monitoring of the behaviour of these persons, if this behaviour takes place in the European Union.

In particular, the Regulation provides for the profiling of a natural person in order to make decisions concerning him/her or to analyse or predict his/her personal preferences, behaviour and attitudes.

These two conditions (i) and (ii) are alterative and not cumulative.

What about the transfer of the personal data outside the European Union?

In principle, the transfer of personal data outside the European Union is prohibited. The aim is to protect personal data against data havens which apply more flexible regulations in this respect.

There are many exceptions to the principle:

    1. Transfer of data towards countries belonging to the European Economic Area

These countries have signed an agreement with the European Union through which they have adopted personal data protection regulations.

    1. Transfer of data towards countries with an adequacy agreement

Certain countries are recognised by the European Union as having regulations on the protection of personal data that are equivalent to European regulations.

    1. The transfer of data towards countries that have signed standard contractual clauses or BCR (“Binding Corporate Rules”)

These are countries for which no adequacy decision has been made or which have no personal data protection regulations. The idea is therefore to establish contractual rather than legal protection for data through standard clauses or an agreement within a group of companies.

Standard contractual clauses

Standard clauses have been drafted by the European Commission and are accessible via its website. These are agreements concluded between the Data Controller and the Processor established abroad either in the framework of an IT service agreement or in the context of the sending of personal data to a group subsidiary or entity.

Currently, the Data Controller may obtain authorisation from the national regulatory authority (CNIL in France) before using these clauses. This request for authorisation will be discontinued as of May 25, 2018.

Binding Corporate Rules (BCR)

BCR concern groups of companies exclusively. A charter is adopted within the group under the terms of which all the group subsidiaries and entities undertake to comply with the European data protection regulations.

Once the charter has been drafted, it is submitted for authorisation to the European data protection authorities via a mutual recognition system.

This request for authorisation will be maintained after May 25, 2018.

    1. Transfer of personal data towards the USA: the “Privacy Shield” system

This is an international agreement between the European Union and the American Federal Trade Commission (FTC) which American companies are free to adhere to. Under the terms of this agreement, the FTC undertakes to ensure that the companies that sign up to this system comply with the data protection rules contained in this international agreement.

To conclude, the aim of the European Regulation on the protection of personal data is to apply to companies all around the world which process the personal data of European residents.

It puts an end to the hide-and-seek of forum shopping which, for all services supplied on-line, made it possible to choose the most favourable and least strict country to develop a company’s economic model.

The level of sanctions removes any doubt as to the firmness with which this new framework is going to be implemented. It generates risks that can hardly be considered as minor.

It requires an in-depth thought process and the implementation of a compliance project for any company that uses the personal data of persons situated in one of the 28 European Union countries comprising 520 million inhabitants.

The author of this post is Thierry Aballéa.

L’ambito di applicazione del regolamento generale sulla protezione dei dati  (“GDPR”), con entrata in vigore a decorrere dal 25 maggio 2018, indurrà le aziende a misurarsi – senza possibilità di ulteriori esitazioni – con questioni concernenti la sicurezza informatica e la responsabilità nella raccolta e archiviazione di dati personali. La tutela della privacy diverrà parte integrante della cultura aziendale e dovrà essere governata a partire dai livelli più alti, ossia dall’amministratore delegato e dal management. Gli stessi dipendenti saranno coinvolti in questo processo di sensibilizzazione attraverso la pianificazione di un’adeguata formazione in materia. Le aziende dovranno ristabilire l’ordine e la priorità di alcuni processi che contemplano la presenza di dati secondo i principi di privacy by design e privacy by default. In sostanza, esse dovranno garantire la protezione dei dati fin dalla fase di ideazione e progettazione del prodotto o del servizio, adottando comportamenti che consentano di prevenire possibili problematiche impattanti sui dati personali.

Una definizione di dato personale sempre più ampia

Il concetto di “dati personali” si riferisce a tutte le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, lo stile di vita, le relazioni personali, lo stato di salute e la condizione economica. Le nuove tecnologie hanno inoltre assegnato un ruolo significativo ai dati relativi alle comunicazioni elettroniche e a quelli che contengono la geolocalizzazione, rendendo sempre più ampia e articolata la definizione di “dato personale”.

Questa transizione, non certo priva di criticità, introduce nuove sfide e opportunità, ponendo al centro del dibattito internazionale e delle politiche digitali la questione della protezione dei dati come fondamentale tutela dei diritti dell’uomo. È un punto di svolta significativo. La digitalizzazione ha infatti generato una serie di questioni relative alla sicurezza informatica che alcuni anni fa potevano essere gestite dalle autorità nazionali in ogni Paese dell’UE e che ora esigono un quadro legislativo più attento e articolato. L’ introduzione di piattaforme come SaaS (Software as a Service) e l’espansione del cloud computing hanno modificato radicalmente lo scenario.

Pertanto, nel 2011 il GEPD (Garante europeo della protezione dei dati) ha accolto con favore l’istanza di riformare l’ambito giuridico della protezione dei dati personali, non risultando più idonea la legislazione vigente.

Benché sia ancora prematuro tratteggiare il quadro dell’impatto complessivo che il regolamento sulla privacy avrà, ci pare interessante e opportuno soffermarci su alcune considerazioni di ordine generale e su alcuni esiti del GDPR nello scenario internazionale.

L’applicabilità potenzialmente mondiale del GDPR

Una delle grandi novità del GDPR è certamente la sua applicabilità potenzialmente mondiale: il regolamento varca dunque i confini europei in nome della tutela del dato personale.

Esso infatti si applica non solo in tutti i casi di trattamento di dati da parte di aziende stabilite nell’Unione Europea, ma anche in tutti i casi in cui l’azienda, anche se stabilita in Paesi extra UE, tratti dati personali di soggetti che si trovano nell’Unione, al fine di offrire loro beni o servizi ovvero di monitorare il loro comportamento nell’ambito dell’Unione Europea.

Pertanto, alla luce di ciò, tutte le società estere che vorranno continuare a proporre e rendere le loro prestazioni ai cittadini europei non potranno esimersi dal conformarsi al GDPR.

Ragioni di opportunità e convenienza, oltre che di obbligatorietà alle condizioni di cui sopra e comunque fintantoché non sarà compiuta la Brexit, potranno portare anche le organizzazioni britanniche ad adeguarsi per proteggere i dati personali dei cittadini britannici ed essere competitive nel mercato europeo.

L’irrilevanza dell’ubicazione dei dati

Il regolamento non solo vincola le società estere che trattino dati personali di cittadini dell’Unione, ma mira anche a disciplinare tutti i trattamenti di dati personali, a prescindere da dove i dati personali si trovino. Si prevede infatti che siano soggetti al GDPR tutti i trattamenti di dati effettuati da aziende stabilite dell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

I dati saranno quindi al centro dell’attenzione legale e soggetti a questo nuovo regolamento anziché alle leggi di un Paese. Ciò significa che l’ubicazione fisica perde rilevanza dinanzi al fine di garantire agli interessati un maggior controllo sulle informazioni che vengono raccolte, archiviate e utilizzate da altri.

Certo rimarrà aperta la possibilità per un’azienda di decidere di cessare le proprie attività con i cittadini dell’UE per evitare l’adeguamento ai principi del GDPR, ma tale scelta dovrà essere assunta correttamente: se, per esempio, si fornisce un servizio che, attraverso il web, può essere fruito anche da cittadini dell’UE, si dovrà prendere in considerazione l’applicazione del GDPR.

La previsione di severe sanzioni

Le sanzioni verso le società riluttanti all’adeguamento normativo possono giungere sino al 4% del loro fatturato mondiale e fino a 20 milioni di euro. La rilevanza di queste misure sanzionatorie ha destato l’attenzione di tutte le parti, in particolare delle organizzazioni statunitensi, che hanno una forte presenza nell’UE. Il GDPR, peraltro, si applica alle organizzazioni di tutte le dimensioni, sia che si tratti di uno studio individuale sia di una grande società.

Dal momento che raggiungere la conformità risulta complesso e rispettare la scadenza del 25 maggio potrebbe essere difficile, le società lungimiranti hanno iniziato ad avviare i loro programmi di conformità subito dopo l’annuncio del regolamento UE.

Secondo i dati di PwC, il 9% delle aziende statunitensi dichiara di aver assegnato oltre 10 milioni di dollari per ottenere la conformità.

Alcuni requisiti di conformità per le imprese

  • Principio di accountability: si dovrà garantire che il trattamento dei dati passi attraverso procedure documentate, indipendentemente dal fatto che sia l’azienda a condurre tali procedure o che queste vengano eseguite per conto dell’azienda. Il titolare del trattamento viene così responsabilizzato e dovrà dimostrare di essere compliant con il GDPR.
  • Risk based approach: alla base del regolamento europeo v’è, appunto, la responsabilizzazione delle società, cui viene richiesto di essere in linea con i principi del GDPR sulla scorta di un nuovo approccio basato sul rischio e sull’analisi dei rischi.
  • Consenso chiaro ed esplicito: grande attenzione viene dedicata al tema del consenso al trattamento dei dati personali, che dovrà essere chiaro, esplicito, distinguibile ed inequivocabile.
  • Data protection by design e by default: gestione e implementazione della privacy fin dalla progettazione e con impostazioni di default; ciò significa che le imprese dovranno prendere in considerazione la tutela dei dati personali sin dal momento della progettazione e dello sviluppo pratico di un prodotto, un servizio o un’applicazione.
  • Diritto all’oblio: i soggetti interessati hanno il diritto di ottenere, senza ritardo, dal titolare del trattamento la cancellazione dei loro dati personali alle condizioni previste dal GDPR, quali ad esempio la superfluità, e non più necessità, dei dati rispetto alle finalità per cui sono stati raccolti ovvero la revoca del consenso da parte del soggetto interessato.
  • Diritto alla portabilità dei dati: i soggetti interessati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i loro dati personali, potendoli così trasmettere ad un altro titolare del trattamento senza impedimento alcuno da parte del precedente titolare.
  • Designazione di un Rappresentante nell’Unione Europea: il Rappresentante dovrà agire per conto del titolare o del responsabile del trattamento e potrà essere interpellato da qualsiasi Autorità di vigilanza.

Come facilitare il processo di transizione?

Il regolamento UE in tema di protezione dei dati personali richiede una solida preparazione giuridica e, al contempo, una grande capacità di implementazione tecnica sulla base dei processi di digitalizzazione in atto e l’utilizzo di tecnologie sempre più avanzate e complesse.

Le aziende, pertanto, potranno affidarsi a professionisti in grado di fornire una consulenza multidisciplinare, che contempli non solo le adeguate competenze in ambito giuridico ed informatico, ma anche il dialogo e le sinergie tra professionisti e figure aziendali quali giuristi, informatici, ingegneri e matematici.

Il GDPR diventa pertanto non solo un faticoso adempimento, ma anche l’occasione per avviare nelle aziende un processo di transizione, in cui l’unione delle predette skills si configura come la ricetta in grado di garantire la crescita, oltre che l’osservanza della normativa.

L’autore di questo post è Giorgio Piccolotto.

Less than one year from now, on May 25, 2018, the new European Regulation on the protection of personal data (EU) 2016/679 will come into force. Whatever its size or business activity, every company has to process personal data files at some point.

The new sanctions provide a strong incentive to prepare organisations for compliance with the new legal framework in twelve months’ time.

Non-European undertakings must also be particularly careful regarding these new measures, the principal aspects of which are summarised below.

Extraterritorial application

The Regulation applies to personal data processing when the controller is established on the territory of the European Union.

If the controller is not established in the European Union, the Regulation applies when data processing involves persons situated within the European Union and when the processing is linked to the offering of goods or services to such persons.  Non-EU companies must appoint a representative for this purpose.

The right to data portability and appointment of a DPO

This new right enables a person to recover the data that he has supplied in a form that is easily reusable, such as a USB key for example. Companies must get organised in order to be able to satisfy these portability requirements.

Appointment of a Data Protection Officer

Companies must appoint a DPO (Data Protection Officer), successor to the CIL (Correspondant Informatique et Libertés) who is appointed based on his professional skills (legal and technical), his independence and his accessibility in order to ensure compliance.

We would like to point out that a specialist lawyer should be authorised to carry out this role provided relevant Bar rules do not prevent it.

Sanctions

These measures must imperatively be respected at the risk of seeing heavy sanctions imposed.

Depending on the category of infraction, these sanctions may amount to:

  • 10 to 20 million euro; or
  • 2% to 4% of annual world revenues,

The higher of the above two amounts is applied.

Recommendations

To ensure that your practices comply with the new legislation, it is necessary to:

  • Set in motion an internal project dedicated to compliance with the new legislation within the next 9 months;
  • Anticipate the obligations specified by the Regulation;
  • Budget for the right to data portability and the position of DPO;
  • Organise, for SME, the sharing of the DPO position with other companies.

The author of this post is Thierry Aballéa.

Federico Vasoli

Aree di attività

  • Diritto societario
  • Investimenti stranieri
  • M&A
Contatta Federico
Hong Kong - Legalmondo

Hong Kong removed from EU’s Tax Cooperation Watchlist
  • Fisco e tasse
  • Hong Kong
Vietnam - Legalmondo

Vietnam Tackles Global Minimum Tax Implications
  • Diritto societario
  • Investimenti esteri
  • Vietnam
singapore - vietnam

RCEP – Il più grande accordo di libero scambio
  • Distribuzione
  • Investimenti
  • Singapore
  • Vietnam

Scrivi a Federico





    Leggi la privacy policy di Legalmondo.
    Questo sito è protetto da reCAPTCHA e si applicano le Norme sulla privacy e i Termini di servizio di Google.

    Insurance in FOS (Freedom of Service) – Joint liability with intermediaries for violation of GDPR

    26 Novembre 2019

    • Distribuzione
    • Assicurazioni
    • Privacy e Trattamento dati

    Il Governo del Vietnam ha emanato un nuovo decreto che regola i servizi internet e le informazioni online, che entrerà in vigore il 25 dicembre 2024. Il decreto n. 147/2024/ND-CP, promulgato il 9 novembre 2024, sostituisce il precedente decreto n. 72/2013/ND-CP e le sue modifiche.

    Questa legislazione completa, che comprende oltre 200 pagine e 62 moduli allegati, affronta un’ampia gamma di argomenti relativi a Internet e all’online. Tra questi, i servizi internet, i nomi di dominio, la fornitura di informazioni transfrontaliere, i servizi di social network, i siti web di informazioni aggregate, i servizi di giochi online e i servizi di app store.

    Disposizioni chiave

    Fornitura di informazioni transfrontaliere

    I fornitori di servizi offshore, compresi quelli che offrono servizi di social network e app store su base transfrontaliera, sono soggetti a requisiti più severi se affittano l’archiviazione dei dati in Vietnam o se raggiungono una soglia di 100.000 o più visite totali al mese dal Vietnam per sei mesi consecutivi. Questi fornitori devono:

    1. Comunicare all’Autorità per la radiodiffusione e l’informazione elettronica (ABEI) i propri dati di contatto.
    2. Monitorare e rimuovere i contenuti illegali
    3. Memorizzare e gestire i dati degli utenti come richiesto
    4. Autenticare gli account degli utenti dei social network utilizzando numeri di cellulare o numeri di identificazione vietnamiti.
    5. Presentare relazioni annuali e ad hoc all’ABEI.
    6. Gestire i reclami degli utenti

    Solo i fornitori transfrontalieri che hanno comunicato all’ABEI i propri recapiti possono offrire servizi di live stream e di generazione di reddito. La mancata osservanza può comportare blocchi e sanzioni.

    Reti sociali

    Il Decreto 147 stabilisce regimi distinti per i servizi di social network offshore e onshore:

    1. I fornitori offshore che soddisfano la soglia di cui sopra devono comunicare all’ABEI le loro informazioni di contatto.
    2. I provider onshore che raggiungono 10.000 visite totali al mese per sei mesi consecutivi o 1.000 utenti regolari al mese devono ottenere una Licenza per Social Network.
    3. Altri fornitori onshore con traffico ridotto devono ottenere un certificato di notifica dall’ABEI.

    Il decreto regola anche le attività di livestream, stabilendo le condizioni per i fornitori di servizi di social network per offrire funzioni di livestream e per gli account di social network per condurre attività di livestream.

    Giochi online

    Alle organizzazioni e agli individui stranieri è vietato fornire giochi online agli utenti dei servizi in Vietnam su base transfrontaliera. Per offrire tali servizi, devono creare un’impresa locale in Vietnam.

    Si prevede che questo nuovo decreto avrà un impatto significativo sui fornitori di servizi onshore e offshore nei rispettivi settori e potrebbe rendere più severo il panorama normativo per i servizi Internet e la fornitura di informazioni online in Vietnam.

    Are insurers liable for breach of the GDPR on account of their appointed intermediaries?

    Insurers acting out of their traditional borders through a local intermediary should choose carefully their intermediaries when distributing insurance products, and use any means at their disposal to control them properly. Distribution of insurance products through an intermediary can be a fast way to distribute insurance products and enter a territory with a minimum of investments. However, it implies a strict control of the intermediary’s activities.

    The reason is that Insurers in FOS can be held jointly liable with the intermediary if this one violates personal data regulation and its obligations as set by the GDPR (Regulation 2016/679 of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data).

    In a decision dated 18 July 2019 , the CNIL (Commission Nationale Informatique et Libertés), the French authority in charge of personal data protection rendered a decision against ACTIVE ASSURANCE, a French intermediary, for several breaches of the GDPR.  The intermediary was found guilty and fined EUR 180,000 for failing to properly protect the personal data of its clients. Those were found easily accessible on the web by any technician well versed in data processing. Moreover, the personal access codes of the clients were too simple and therefore easily accessible by third parties.

    Although in this particular case insurers were not fined by the CNIL, the GDPR considers that they can be jointly liable with the intermediary in case of breach of personal data. In particular, the controller is liable for any acts of the processor he has appointed, this one being considered as a sub-contractor (clauses 24 and 28 of the GDPR).

    This illustrates the risks to distribute insurance products through an intermediary without controlling its activities. Acting through intermediaries, in particular for insurance companies acting from foreign EU countries in FOS under the EU Directive on freedom of insurance services (Directive 2016/97 of 20 January 2016 on insurance distribution) requires a strict control through enacting contractual dispositions whereas are defined:

    1. a clear distribution of the duties between insurer and distributor (who is controller/joint controller/processor ?) as regards technical means used for protecting personal data (who shall do/control what ?) and legal requirements (who must report to the authorities in case of breach of security/ who shall reply to requests from data owners?, etc.);
    2. the right of the insurer to audit the distributors’ technical means used for this protection at any time during the term of the contract. In addition to this, one should always keep in mind that this audit should be conducted efficiently by the insurer at regular times. As Napoleon rightly said: “You can govern from afar, but you can only administer closely”.

    The concept of privacy by design has been around for a few decades. Although it has been referred to in studies since the 1970s and present in legislation since as far as the early 1990s, it was consolidated only in 2009 with the work of Ann Cavoukian, the Information & Privacy Commissioner of Ontario, Canada

     

    This author defined the seven foundational principles of privacy by design: (i) to be proactive not reactive, preventative not remedial; (ii) privacy as the default setting; (iii) privacy embedded into design; (iv) full functionality – positive-sum, not zero-sum; (v) end-to-end security – full lifecycle protection; (vi) visibility and transparency – keep it open; and (vii) respect for user privacy – keep it user-centric.

     

    After being adopted as a privacy standard by the International Data Protection and Privacy Commissioners in 2010, privacy by design was also included in the General Data Protection Regulation (GDPR – Regulation (EU) 2016/679 of the European Parliament and of the Council, of 27 April 2016). However, in the GDPR (article 25) it no longer remains as a mere principle. Instead, it has become a mandatory legal obligation and failure to comply can lead to severe administrative fines (article 83/4/a).

     

    Regarding privacy by design, the GDPR establishes that the data controller shall implement the appropriate technical and organisational measures designed to implement data protection principles in an effective manner and to integrate the necessary safeguards into the processing. The appropriate technical and organisational measures are to be determined taking into account (i) the nature, scope, context and purpose of processing, (ii) the risks for rights and freedoms, (iii) the state of the art, and (iv) the cost of implementation.

     

    Regarding privacy by default, the GDPR establishes that the controller shall implement the appropriate technical and organisational measures to ensure that, by default, (i) only the necessary data is processed, (ii) only to the necessary extent of processing, (iii) is only accessible by the necessary individuals, and (iv) is only stored by the necessary period of time.

     

    Both privacy by design and privacy by default are established around the idea of the implementation of the appropriate technical and organisational measures to safeguard the personal data protection principles and rules. The GDPR provides some examples of these measures (such as pseudonymisation, encryption, anonymisation), but it is not a catalogue for these measures or other privacy enhancing technologies (PET) and the provided examples should not be seen as mandatory measures.

     

    Clear guidance on privacy by design and by default is not to be found in the GDPR and it is a work in progress by all the community and parties involved. But the GDPR has the clear intention of impacting the core of the digital age system, reshaping its values regarding privacy.

     

    The success of this ambition is uncertain, but some important challenges are already very clear, such as the role of the producers of products, services and applications, the integration of data protection principles in the design of User Experience (UX) and User Interface (UI) and also in the software development planning (agile and scrum, for instance).

     

    In the meantime, examples of the real impact of privacy by design and by default are coming to light. In 2018, Valve changed the privacy settings of the users of the gaming platform Steam, making games owned private by default. As a direct consequence, the analytics activity provided by SteamSpy and other similar companies was severely damaged.

     

    Privacy by design certainly is, for those closely involved in the design process of products, services and applications, one of the most interesting and challenging topics in personal data protection.

    Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, in materia di “protezione” dei dati personali (di seguito il “Regolamento” o “GDPR”), strumento normativo comunitario che mira a rafforzare il diritto delle persone fisiche a veder protetti i propri dati personali, già elevato a “diritto fondamentale” nella Carta dei diritti fondamentali dell’Unione europea (Articolo 8 paragrafo 1) e nel Trattato sul funzionamento dell’Unione europea (Articolo 16 paragrafo 1).

    Il Regolamento ha immediata applicazione nell’ordinamento italiano e non necessita di alcun recepimento da parte del legislatore nazionale. Le sue disposizioni prevalgono sulle leggi interne. Da un punto di vista pratico ciò significa che, in caso di contrasto tra una disposizione contenuta nel Regolamento ed una prevista nel “vecchio” Decreto Legislativo 196/2003, sarà la prima a prevalere.

    Il GDPR si compone di 99 articoli di cui, solo alcuni, costituiscono delle novità ed hanno una specifica rilevanza per i titolari/gestori di strutture ricettive.

    Sicuramente una prima novità è quella relativa al “consenso esplicito” per il trattamento dei dati “sensibili” e le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). È infatti necessario che il cliente manifesti un consenso distinto da quello relativo agli altri dati. Il consenso raccolto prima del 25 maggio 2018 resta valido solo se ha queste caratteristiche.

    Ciò impone, ad esempio, al titolare dei dati di adeguare il proprio sito web, o le newsletter promozionali inviate ai propri clienti. Questi devono essere informati delle finalità per le quali vengono raccolti i dati e dei diritti che spettano loro. Per l’iscrizione alla newsletter dovrebbe essere necessaria unicamente la mail e qualora fossero richiesti altri dati, andranno specificate le finalità per le quali vengono domandati. Prima della richiesta di iscrizione il cliente dovrà rilasciare il proprio consenso e l’accettazione della privacy policy. L’informativa sulla privacy dovrà essere raggiungibile chiaramente dall’home page del sito. Per quanto concerne specificamente la newsletter, l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.

    Sono state poi introdotte delle rilevanti modiche ai compiti del Titolare del trattamento dei Dati ed al Responsabile per il trattamento dei dati, entrambe figure che vengono in rilievo nelle strutture alberghiere. 

    Il Titolare del trattamento dei dati deve ora: (i) essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento, (ii) fornire i dati di contatto del Responsabile della protezione dei dati, (iii) dichiarare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, (iv) specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, (v) specificare se il trattamento comporti processi decisionali automatizzati (anche la profilazione), e le conseguenze previste per l’interessato.

    Il Responsabile per il trattamento dei dati (c.d. Data protection Officer – DPO), è invece il professionista (che può essere interno o esterno alla struttura) garante dell’osservazioni delle norme del GPDR e della gestione e trattamento dei dati.

    Secondo la nuova normativa i compiti di detto soggetto consistono ora nella: (i) tenuta del registro dei trattamenti svolti (ex art. 30,paragrafo 2), e (ii) nell’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 Regolamento).

    Il suo nome deve essere riportato nell’informativa che occorre consegnare al Cliente. Il suo rapporto con il titolare del trattamento è regolato obbligatoriamente da un contratto che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” ad una corretta gestione e trattamento dei dati. Il Responsabile può nominare a sua volta un “sub-responsabile” ma solo per limitate attività di trattamento, nel rispetto di quanto previsto nel suo contratto, e risponde dell’inadempimento del sub-responsabile.

    Alla luce di tali disposizioni, le strutture alberghiere dovranno poi provvedere ad una più attenta valutazione del rischio derivante dal trattamento dei dati, approntare una dettagliata procedura in grado di monitorare costantemente l’idoneità del trattamento, provvedere tempestivamente a notificare una violazione della procedura di sicurezza che comporti la divulgazione anche accidentale dei dati, adeguare le proprie informative da consegnare al Cliente.

    Merita, infine, di esser segnalato che le sanzioni per le violazioni al GDPR possono essere assai rilevanti e giungere fino al 4% del fatturato dell’impresa, ben più severe rispetto a quelle previste in precedenza. E’ quindi necessario prestare molta attenzione al rispetto del GDPR, in quanto una sua errata o carente applicazione può determinare gravi pregiudizi all’impresa.

    L’autore di questo articolo è Giovanni Izzo.

    The General Data Protection Regulation (EU regulation 2016/679) comes into force on May 25, 2018. It applies to all processing, whether automated or not. The most extraordinary part of the regulation, however, is its territorial field of application. Many believed that the virtual world had wiped out borders with the biggest players in the internet world having developed a quantity of arguments, in particular in tax matters, to escape from local legislation. Europe therefore decided to set the record straight. The message is clear, whether you are in America, in Asia or elsewhere, you must comply with the rules when processing the personal data of European residents. The high cost of the sanctions mean that this new legal framework must be taken very seriously. The maximum fine has been fixed at 4% of turnover for the preceding year, which is 2017 for any businesses that are sentenced in 2018. For example, the maximum risk for the GAFAs, if they do not comply with the Regulation, could be estimated as follows: for Amazon 7.1 billion for turnover of around 178 billion (higher than the profit…); for Apple, 5.6 billion for a turnover of around 141 billion; for Google, 4  billion for a turnover of around 100 billion and for Facebook, 1.28 billion for a turnover of around 32 billion (in dollars).

    The limited territorial field of application of the preceding directive

    European directive 95/46EC of October 24, 1995, transposed in France by law n° 2004-801 of August 6, 2004, updated the French data protection act (loi Informatique et Libertés) 78-17 of January 6, 1978.

    The Directive may of course apply to Data Controllers who are not established on the territory of the European Union, but it obliges them to use a means of processing situated in the territory of the European Union.

    It came to light that many processors were managing to avoid the European data protection regulations on the basis of the extraterritoriality of their processing.

    For many years Google claimed that the data it collected in France and in Europe were not governed by French regulations but by Californian regulations since the company and its servers were based in California.

    As the aim of the European Commission is to protect personal data, the new Regulation should rectify this shortcoming.

    The extraterritorial field of application of the Regulation 

    Starting from May 25, 2018, the European Regulation will be applicable to all processing of personal data for which the Data Controller or the Data Processor (in general the IT service provider) is established in the European Union, irrespective of whether or not the processing itself takes place within the European Union.  

    The Regulation also provides for its application in cases where the Controller or Processor are not established in the European Union when the processing targets a data subject situated in the European Union, irrespective of the nationality of the person concerned.  

    Controllers or Processors established in the European Union

    The notion of establishment is not defined in the Regulation.  It has been interpreted extensively by the French and European courts, which give priority to a functional analysis based on the effective and real exercise of activity through a stable arrangement.

    Establishment has already been judged to exist through the presence in the Member State concerned of a representative, a bank account and a letter box (CJEU October 1, 2015, Weltimmo).

    Furthermore, the legal form of such an establishment is not decisive. Consequently, the processing of personal data carried out by a simple branch, which has no legal personality, by a non-European Controller, must be carried out in accordance with the Regulation.

    Controllers or Processors not established in the European Union

    When the Controller or Processor is not established in the European Union and has no establishment there, the Regulation applies when the processing relates to persons situated in the European Union and when the processing activities are linked to an offering or the monitoring of internet users in the 28 countries making up the European Union, comprising 520 million inhabitants.

    • (i) To the offering of goods or services destined to these persons, whether these services are free or paying services

    The Regulation does not contain any definition of the offering of goods and services but it provides indications making it possible to characterise such an offering (whereas clause n°23), such as the use of the language or currency generally used in one or more Member States with the possibility of ordering goods and services in this language or even the mention of clients or users situated in the European Union.

    However, the mere accessibility of a website, e-mail address or other contact details is insufficient to ascertain this intention.

    In other words, it is necessary to check the intention of the Data Controller with regard to the persons concerned. Did he intend to offer goods or services to the persons concerned in the European Union or not?

    • (ii) To the monitoring of the behaviour of these persons, if this behaviour takes place in the European Union.

    In particular, the Regulation provides for the profiling of a natural person in order to make decisions concerning him/her or to analyse or predict his/her personal preferences, behaviour and attitudes.

    These two conditions (i) and (ii) are alterative and not cumulative.

    What about the transfer of the personal data outside the European Union?

    In principle, the transfer of personal data outside the European Union is prohibited. The aim is to protect personal data against data havens which apply more flexible regulations in this respect.

    There are many exceptions to the principle:

      1. Transfer of data towards countries belonging to the European Economic Area

    These countries have signed an agreement with the European Union through which they have adopted personal data protection regulations.

      1. Transfer of data towards countries with an adequacy agreement

    Certain countries are recognised by the European Union as having regulations on the protection of personal data that are equivalent to European regulations.

      1. The transfer of data towards countries that have signed standard contractual clauses or BCR (“Binding Corporate Rules”)

    These are countries for which no adequacy decision has been made or which have no personal data protection regulations. The idea is therefore to establish contractual rather than legal protection for data through standard clauses or an agreement within a group of companies.

    Standard contractual clauses

    Standard clauses have been drafted by the European Commission and are accessible via its website. These are agreements concluded between the Data Controller and the Processor established abroad either in the framework of an IT service agreement or in the context of the sending of personal data to a group subsidiary or entity.

    Currently, the Data Controller may obtain authorisation from the national regulatory authority (CNIL in France) before using these clauses. This request for authorisation will be discontinued as of May 25, 2018.

    Binding Corporate Rules (BCR)

    BCR concern groups of companies exclusively. A charter is adopted within the group under the terms of which all the group subsidiaries and entities undertake to comply with the European data protection regulations.

    Once the charter has been drafted, it is submitted for authorisation to the European data protection authorities via a mutual recognition system.

    This request for authorisation will be maintained after May 25, 2018.

      1. Transfer of personal data towards the USA: the “Privacy Shield” system

    This is an international agreement between the European Union and the American Federal Trade Commission (FTC) which American companies are free to adhere to. Under the terms of this agreement, the FTC undertakes to ensure that the companies that sign up to this system comply with the data protection rules contained in this international agreement.

    To conclude, the aim of the European Regulation on the protection of personal data is to apply to companies all around the world which process the personal data of European residents.

    It puts an end to the hide-and-seek of forum shopping which, for all services supplied on-line, made it possible to choose the most favourable and least strict country to develop a company’s economic model.

    The level of sanctions removes any doubt as to the firmness with which this new framework is going to be implemented. It generates risks that can hardly be considered as minor.

    It requires an in-depth thought process and the implementation of a compliance project for any company that uses the personal data of persons situated in one of the 28 European Union countries comprising 520 million inhabitants.

    The author of this post is Thierry Aballéa.

    L’ambito di applicazione del regolamento generale sulla protezione dei dati  (“GDPR”), con entrata in vigore a decorrere dal 25 maggio 2018, indurrà le aziende a misurarsi – senza possibilità di ulteriori esitazioni – con questioni concernenti la sicurezza informatica e la responsabilità nella raccolta e archiviazione di dati personali. La tutela della privacy diverrà parte integrante della cultura aziendale e dovrà essere governata a partire dai livelli più alti, ossia dall’amministratore delegato e dal management. Gli stessi dipendenti saranno coinvolti in questo processo di sensibilizzazione attraverso la pianificazione di un’adeguata formazione in materia. Le aziende dovranno ristabilire l’ordine e la priorità di alcuni processi che contemplano la presenza di dati secondo i principi di privacy by design e privacy by default. In sostanza, esse dovranno garantire la protezione dei dati fin dalla fase di ideazione e progettazione del prodotto o del servizio, adottando comportamenti che consentano di prevenire possibili problematiche impattanti sui dati personali.

    Una definizione di dato personale sempre più ampia

    Il concetto di “dati personali” si riferisce a tutte le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, lo stile di vita, le relazioni personali, lo stato di salute e la condizione economica. Le nuove tecnologie hanno inoltre assegnato un ruolo significativo ai dati relativi alle comunicazioni elettroniche e a quelli che contengono la geolocalizzazione, rendendo sempre più ampia e articolata la definizione di “dato personale”.

    Questa transizione, non certo priva di criticità, introduce nuove sfide e opportunità, ponendo al centro del dibattito internazionale e delle politiche digitali la questione della protezione dei dati come fondamentale tutela dei diritti dell’uomo. È un punto di svolta significativo. La digitalizzazione ha infatti generato una serie di questioni relative alla sicurezza informatica che alcuni anni fa potevano essere gestite dalle autorità nazionali in ogni Paese dell’UE e che ora esigono un quadro legislativo più attento e articolato. L’ introduzione di piattaforme come SaaS (Software as a Service) e l’espansione del cloud computing hanno modificato radicalmente lo scenario.

    Pertanto, nel 2011 il GEPD (Garante europeo della protezione dei dati) ha accolto con favore l’istanza di riformare l’ambito giuridico della protezione dei dati personali, non risultando più idonea la legislazione vigente.

    Benché sia ancora prematuro tratteggiare il quadro dell’impatto complessivo che il regolamento sulla privacy avrà, ci pare interessante e opportuno soffermarci su alcune considerazioni di ordine generale e su alcuni esiti del GDPR nello scenario internazionale.

    L’applicabilità potenzialmente mondiale del GDPR

    Una delle grandi novità del GDPR è certamente la sua applicabilità potenzialmente mondiale: il regolamento varca dunque i confini europei in nome della tutela del dato personale.

    Esso infatti si applica non solo in tutti i casi di trattamento di dati da parte di aziende stabilite nell’Unione Europea, ma anche in tutti i casi in cui l’azienda, anche se stabilita in Paesi extra UE, tratti dati personali di soggetti che si trovano nell’Unione, al fine di offrire loro beni o servizi ovvero di monitorare il loro comportamento nell’ambito dell’Unione Europea.

    Pertanto, alla luce di ciò, tutte le società estere che vorranno continuare a proporre e rendere le loro prestazioni ai cittadini europei non potranno esimersi dal conformarsi al GDPR.

    Ragioni di opportunità e convenienza, oltre che di obbligatorietà alle condizioni di cui sopra e comunque fintantoché non sarà compiuta la Brexit, potranno portare anche le organizzazioni britanniche ad adeguarsi per proteggere i dati personali dei cittadini britannici ed essere competitive nel mercato europeo.

    L’irrilevanza dell’ubicazione dei dati

    Il regolamento non solo vincola le società estere che trattino dati personali di cittadini dell’Unione, ma mira anche a disciplinare tutti i trattamenti di dati personali, a prescindere da dove i dati personali si trovino. Si prevede infatti che siano soggetti al GDPR tutti i trattamenti di dati effettuati da aziende stabilite dell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

    I dati saranno quindi al centro dell’attenzione legale e soggetti a questo nuovo regolamento anziché alle leggi di un Paese. Ciò significa che l’ubicazione fisica perde rilevanza dinanzi al fine di garantire agli interessati un maggior controllo sulle informazioni che vengono raccolte, archiviate e utilizzate da altri.

    Certo rimarrà aperta la possibilità per un’azienda di decidere di cessare le proprie attività con i cittadini dell’UE per evitare l’adeguamento ai principi del GDPR, ma tale scelta dovrà essere assunta correttamente: se, per esempio, si fornisce un servizio che, attraverso il web, può essere fruito anche da cittadini dell’UE, si dovrà prendere in considerazione l’applicazione del GDPR.

    La previsione di severe sanzioni

    Le sanzioni verso le società riluttanti all’adeguamento normativo possono giungere sino al 4% del loro fatturato mondiale e fino a 20 milioni di euro. La rilevanza di queste misure sanzionatorie ha destato l’attenzione di tutte le parti, in particolare delle organizzazioni statunitensi, che hanno una forte presenza nell’UE. Il GDPR, peraltro, si applica alle organizzazioni di tutte le dimensioni, sia che si tratti di uno studio individuale sia di una grande società.

    Dal momento che raggiungere la conformità risulta complesso e rispettare la scadenza del 25 maggio potrebbe essere difficile, le società lungimiranti hanno iniziato ad avviare i loro programmi di conformità subito dopo l’annuncio del regolamento UE.

    Secondo i dati di PwC, il 9% delle aziende statunitensi dichiara di aver assegnato oltre 10 milioni di dollari per ottenere la conformità.

    Alcuni requisiti di conformità per le imprese

    • Principio di accountability: si dovrà garantire che il trattamento dei dati passi attraverso procedure documentate, indipendentemente dal fatto che sia l’azienda a condurre tali procedure o che queste vengano eseguite per conto dell’azienda. Il titolare del trattamento viene così responsabilizzato e dovrà dimostrare di essere compliant con il GDPR.
    • Risk based approach: alla base del regolamento europeo v’è, appunto, la responsabilizzazione delle società, cui viene richiesto di essere in linea con i principi del GDPR sulla scorta di un nuovo approccio basato sul rischio e sull’analisi dei rischi.
    • Consenso chiaro ed esplicito: grande attenzione viene dedicata al tema del consenso al trattamento dei dati personali, che dovrà essere chiaro, esplicito, distinguibile ed inequivocabile.
    • Data protection by design e by default: gestione e implementazione della privacy fin dalla progettazione e con impostazioni di default; ciò significa che le imprese dovranno prendere in considerazione la tutela dei dati personali sin dal momento della progettazione e dello sviluppo pratico di un prodotto, un servizio o un’applicazione.
    • Diritto all’oblio: i soggetti interessati hanno il diritto di ottenere, senza ritardo, dal titolare del trattamento la cancellazione dei loro dati personali alle condizioni previste dal GDPR, quali ad esempio la superfluità, e non più necessità, dei dati rispetto alle finalità per cui sono stati raccolti ovvero la revoca del consenso da parte del soggetto interessato.
    • Diritto alla portabilità dei dati: i soggetti interessati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i loro dati personali, potendoli così trasmettere ad un altro titolare del trattamento senza impedimento alcuno da parte del precedente titolare.
    • Designazione di un Rappresentante nell’Unione Europea: il Rappresentante dovrà agire per conto del titolare o del responsabile del trattamento e potrà essere interpellato da qualsiasi Autorità di vigilanza.

    Come facilitare il processo di transizione?

    Il regolamento UE in tema di protezione dei dati personali richiede una solida preparazione giuridica e, al contempo, una grande capacità di implementazione tecnica sulla base dei processi di digitalizzazione in atto e l’utilizzo di tecnologie sempre più avanzate e complesse.

    Le aziende, pertanto, potranno affidarsi a professionisti in grado di fornire una consulenza multidisciplinare, che contempli non solo le adeguate competenze in ambito giuridico ed informatico, ma anche il dialogo e le sinergie tra professionisti e figure aziendali quali giuristi, informatici, ingegneri e matematici.

    Il GDPR diventa pertanto non solo un faticoso adempimento, ma anche l’occasione per avviare nelle aziende un processo di transizione, in cui l’unione delle predette skills si configura come la ricetta in grado di garantire la crescita, oltre che l’osservanza della normativa.

    L’autore di questo post è Giorgio Piccolotto.

    Less than one year from now, on May 25, 2018, the new European Regulation on the protection of personal data (EU) 2016/679 will come into force. Whatever its size or business activity, every company has to process personal data files at some point.

    The new sanctions provide a strong incentive to prepare organisations for compliance with the new legal framework in twelve months’ time.

    Non-European undertakings must also be particularly careful regarding these new measures, the principal aspects of which are summarised below.

    Extraterritorial application

    The Regulation applies to personal data processing when the controller is established on the territory of the European Union.

    If the controller is not established in the European Union, the Regulation applies when data processing involves persons situated within the European Union and when the processing is linked to the offering of goods or services to such persons.  Non-EU companies must appoint a representative for this purpose.

    The right to data portability and appointment of a DPO

    This new right enables a person to recover the data that he has supplied in a form that is easily reusable, such as a USB key for example. Companies must get organised in order to be able to satisfy these portability requirements.

    Appointment of a Data Protection Officer

    Companies must appoint a DPO (Data Protection Officer), successor to the CIL (Correspondant Informatique et Libertés) who is appointed based on his professional skills (legal and technical), his independence and his accessibility in order to ensure compliance.

    We would like to point out that a specialist lawyer should be authorised to carry out this role provided relevant Bar rules do not prevent it.

    Sanctions

    These measures must imperatively be respected at the risk of seeing heavy sanctions imposed.

    Depending on the category of infraction, these sanctions may amount to:

    • 10 to 20 million euro; or
    • 2% to 4% of annual world revenues,

    The higher of the above two amounts is applied.

    Recommendations

    To ensure that your practices comply with the new legislation, it is necessary to:

    • Set in motion an internal project dedicated to compliance with the new legislation within the next 9 months;
    • Anticipate the obligations specified by the Regulation;
    • Budget for the right to data portability and the position of DPO;
    • Organise, for SME, the sharing of the DPO position with other companies.

    The author of this post is Thierry Aballéa.

    Alexandre Malan

    Aree di attività

    • Arbitrato
    • Distribuzione
    • Assicurazioni
    • Commercio internazionale
    • Contenzioso
    Contatta Alexandre