La nuova legge tailandese sui flussi transfrontalieri di dati

Posted by Written by Muhamad Aziz and Ayman Falak Medina Reading Time: 4 minutes

L’11 novembre 2023, dopo la chiusura del processo di consultazione pubblica, il Comitato per la Protezione dei Dati Personali (PDPC) della Tailandia ha emanato due regolamenti secondari relativi ai trasferimenti transfrontalieri dei dati personali, come previsto dalla Legge sulla Protezione dei Dati Personali (PDPA) del 2019. Tali regolamenti sono stati pubblicati ufficialmente in Gazzetta Ufficiale il 25 dicembre 2023.

I regolamenti, che comprendono gli articoli 28 e 29 del PDPA, illustrano aspetti e criteri di base per il trasferimento transfrontaliero dei dati personali. Questo provvedimento fornisce ulteriori disposizioni per le società impegnate in operazioni transfrontaliere.

A partire dal 24 marzo 2024, sono entrate in vigore sia la Whitelist Notice che le Binding Corporate Rules (BCR) e la Appropriate Protection Notice. Questi regolamenti ampliano in modo significativo le opzioni disponibili per le aziende sui trasferimenti legali transfrontalieri dei dati personali al di fuori della Tailandia, come stabilito dal PDPA.

Avviso whitelist

Il Comitato per la protezione dei dati personali ha emanato un avviso che illustra i criteri per la salvaguardia dei dati personali trasmessi all’estero ai sensi dell’Art. 28 della Legge sulla Protezione dei Dati Personali, B.E. 2562 B.E. 2566 (2023), nota come “Whitelist notice”.

Secondo tale avviso, ogni Paese o organizzazione che riceva dati personali deve rispettare gli standard di protezione dei dati in linea con le leggi thailandesi sulla protezione dei dati personali. Deve inoltre applicare misure legali e disporre di organismi di regolamentazione che garantiscano l’applicazione delle misure per la protezione dei dati personali. Il PDPC ha la facoltà di compilare un elenco di Paesi o organizzazioni che soddisfino questi criteri.

Si consiglia alle aziende di tenere sotto controllo i Paesi inseriti nell’elenco per la valutazione periodica da parte del PDPC o di rivolgersi ad un ufficio del PDPC per una valutazione della conformità in base ai criteri specificati.

L’avviso conferisce all’Ufficio PDPC l’autorità di rinviare i casi, sia autoidentificati che presentati dai responsabili del trattamento dei dati, al PDPC per la risoluzione. Il PDPC mantiene la facoltà di decidere unilateralmente sui casi o di stabilire una lista di Paesi o organismi internazionali riconosciuti per il mantenimento di standard adeguati di protezione dei dati.

Regole aziendali vincolanti e notifica di garanzie adeguate

Il Comitato per la Protezione dei Dati Personali ha emanato un avviso che indica in dettaglio i criteri per la protezione dei dati personali trasmessi all’estero ai sensi dell’Art. 29 della Legge sulla Protezione dei Dati Personali, B.E. 2562 B.E. 2566 (2023), nota come “BCR and Appropriate Safeguards Notification”.

In base a questo avviso, la conformità alle norme vincolanti d’impresa (BCR) comporta l’attuazione di misure approvate, volte a salvaguardare i dati personali scambiati tra aziende collegate o all’interno dello stesso gruppo aziendale. I principali requisiti prevedono inoltre la disponibilità di strumenti legali, come clausole contrattuali standard, la certificazione dell’applicazione degli standard in base ai criteri stabiliti dal PDPC e accordi vincolanti tra istituzioni governative thailandesi e straniere coinvolte nei trasferimenti di dati personali.

L’implementazione delle BCR comporta l’istituzione di misure condivise per la protezione dei dati personali trasferiti, nell’ambito di aziende collegate o della stessa entità aziendale, per attività di collaborazione commerciale.

Si consiglia alle imprese di valutare le proprie BCR, se presenti, e di verificare la necessità di eventuali aggiornamenti per allinearsi ai requisiti indicati nelle BCR e nelle appropriate notifiche di salvaguardia.

Adeguate garanzie servono non solo a proteggere i dati personali, ma anche a difendere i diritti degli interessati, incluso l’accesso a efficaci misure di ricorso. Queste garanzie possono manifestarsi in varie forme, come le clausole contrattuali standard.

Requisiti per il trasferimento transfrontaliero dei dati

Per facilitare i trasferimenti transfrontalieri di dati ai sensi dell’Articolo 28 del PDPA, è fondamentale garantire che il Paese di destinazione o l’organizzazione internazionale che riceve i dati personali dai responsabili del trattamento e dagli incaricati del trattamento in Tailandia mantenga un livello adeguato di protezione dei dati. La sezione 5 della Comunicazione sull’adeguatezza illustra i fattori specifici per la valutazione degli standard di protezione:

  1. Verifica se i meccanismi legali del Paese o dell’organizzazione di destinazione sono in linea con le leggi thailandesi sulla protezione dei dati personali.
  2. Valuta l’esistenza di un’agenzia o di un’organizzazione designata, incaricata di far rispettare le leggi sulla protezione dei dati alla destinazione, garantendone l’applicazione ed il monitoraggio attivo.
  3. Conferma la disponibilità di strumenti legali per i titolari dei dati all’interno del Paese di destinazione in caso di violazioni della protezione dei dati.

Il PDPC valuta l’adeguatezza degli standard di protezione dei dati nel Paese di destinazione o nell’organizzazione internazionale. Ai sensi dell’articolo 28, paragrafo 3 del PDPA, l’ufficio PDPC può affrontare i dubbi sollevati dai titolari del trattamento dei dati o raccogliere autonomamente informazioni collegate.

Inoltre, l’Avviso di adeguatezza stabilisce che il PDPC può assumere decisioni caso per caso o prevedere la compilazione di un elenco di Paesi di destinazione o di organizzazioni internazionali ritenute in grado di sostenere standard sufficienti in materia di protezione dei dati personali.

Eccezioni ai principali requisiti riguardanti il trasferimento transfrontaliero dei dati

Secondo l’articolo 28 del PDPA, i prerequisiti per un adeguato standard di protezione dei dati nei trasferimenti transfrontalieri possono essere assenti nei seguenti casi:

  1. La conformità alla legge richiede il trasferimento transfrontaliero dei dati.
  1. Il consenso dell’interessato si ottiene dopo averlo informato dell’inadeguatezza degli standard di protezione dei dati personali nel Paese di destinazione o nell’organizzazione internazionale.
  2. Il trasferimento dei dati personali è indispensabile per adempiere agli obblighi contrattuali per conto dell’interessato.
  3. Il trasferimento dei dati è essenziale per il rispetto di un contratto tra un’entità con sede in Tailandia che facilita il trasferimento transfrontaliero di dati e un’entità estera, a beneficio dell’interessato.
  4. La condivisione dei dati all’estero diventa necessaria in situazioni di emergenza per prevenire danni alla vita, al corpo o alla salute dell’interessato o di altri, e ottenere il consenso dell’interessato non è fattibile.
  5. Lo svolgimento di attività di significativo interesse pubblico, come la collaborazione con organizzazioni internazionali per la ricerca sulla salute globale o iniziative di protezione ambientale, richiede il trasferimento transfrontaliero dei dati.

Conclusioni

La Tailandia ha emanato nuove norme che regolano i trasferimenti transfrontalieri di dati, volti a salvaguardare i dati personali dei cittadini thailandesi che vengono trasmessi all’estero. Queste regole impongono che il Paese o l’organizzazione ricevente mantengano standard adeguati di protezione dei dati. Le aziende possono soddisfare questi requisiti in due modi: trasferire i dati a un Paese o a un’organizzazione autorizzata dal PDPC o utilizzare le norme vincolanti d’impresa (BCR) approvate dal PDPC. Sono previste eccezioni a queste regole a determinate condizioni. Spetta alle aziende verificare che il Paese di destinazione aderisca agli standard di protezione dei dati o utilizzi un meccanismo consentito di trasferimento.