Privacy comparata: la PDPL araba, caratteristiche e peculiarità

---

Il 14 settembre 2023 è entrata ufficialmente in vigore la nuova normativa dell’Arabia Saudita in materia di protezione dei dati personali. Si tratta della “PDPL”, “Personal Data Protection Law”, fortemente ispirata al GDPR ma con alcune, interessanti, peculiarità.

---

Il quadro normativo: l’introduzione della PDPL e i regolamenti attuativi

La PDPL, attuata con il Regio Decreto M/19 del 17 settembre 2021, modificata il 21 marzo 2023 e da poco entrata in vigore, segna l’introduzione della prima legge sulla protezione dei dati in Arabia Saudita e garantisce un avvicinamento complessivo delle tutele in essere a quelli che sono gli standard internazionali ed europei.

Oltre alla PDPL, il 7 settembre 2023 sono stati pubblicati sulla Gazzetta ufficiale dell’Arabia Saudita anche i relativi Regolamenti attuativi ed il Regolamento che disciplina il trasferimento transfrontaliero di dati personali, in seguito alla fase di consultazione pubblica avviata dall’Autorità nazionale “SDAIA”, “Saudi Data & Artificial Intelligence Authority”, nel luglio 2023.

I principi fondamentali della norma privacy

I principi fondamentali della norma sono distribuiti all’interno di vari articoli. 

Fra questi, l’articolo 11 sancisce: 

• Il principio di legalità in relazione sia allo scopo che ai mezzi effettuati per la raccolta dei dati (lo scopo per il quale vengono raccolti i dati personali non deve contravvenire ad alcuna disposizione di legge, così come gli strumenti di raccolta dei dati non devono essere in contrasto con le disposizioni di legge);
• Il principio di limitazione della finalità (lo scopo per il quale vengono raccolti i dati personali deve essere direttamente collegato agli scopi perseguiti dal titolare del trattamento);
• Il principio di minimizzazione (il contenuto dei dati personali deve essere appropriato e limitato al minimo necessario per raggiungere lo scopo della raccolta);
• Il principio di limitazione della conservazione (se i dati personali non sono più necessari per le finalità per le quali sono stati raccolti, il titolare del trattamento dovrà, senza indebito ritardo, cessare la raccolta e distruggerli). Disposizioni di dettaglio sulla conservazione dei dati sono previste all’interno dell’articolo 18.

L’articolo 14 infine, aggiunge il principio di esattezza, ove prevede che “Il titolare del trattamento non può trattare i dati personali senza adottare misure sufficienti per verificarne l’esattezza, la completezza, l’aggiornamento e la pertinenza rispetto alle finalità per le quali sono stati raccolti, in conformità alle disposizioni della Legge”.

I ruoli privacy

Per quanto riguarda le figure coinvolte nelle attività di trattamento, la PDPL non si discosta rispetto al quadro normativo europeo. Le definizioni di “data controller”, “data processor” e “data subject” corrispondono nella sostanza a quelle previste all’interno del GDPR. 

Inoltre, l’articolo 8 della PDPL, alla stregua dell’articolo 28 del GDPR, prevede che:

• il titolare del trattamento selezioni esclusivamente responsabili che forniscano le necessarie garanzie per attuare le disposizioni della Legge;
• il titolare del trattamento controlli regolarmente la conformità di tali responsabili del trattamento alle disposizioni della Legge.

Dettagli in merito al contenuto del contratto fra le parti sono forniti attraverso i regolamenti attuativi.

La legittimità del trattamento dei dati

In relazione ai fondamenti di liceità del trattamento, la norma cita, in primo luogo, il consenso (articolo 5), demandando, anche in questo caso, la previsione di disposizioni di dettaglio ai regolamenti attuativi. 

L’articolo 6 prevede casi specifici in cui il trattamento può avvenire sulla base di altri presupposti. 

Fra questi: 

• Se il trattamento serve gli interessi effettivi dell'Interessato, ma comunicare con l’Interessato è impossibile o difficile;
• Se il trattamento è conforme a un’altra legge o in attuazione di un precedente accordo di cui l’Interessato è parte;
• Se il titolare del trattamento è un ente pubblico e il trattamento è necessario per scopi di sicurezza o per soddisfare requisiti giudiziari;
• Se il trattamento è necessario ai fini del legittimo interesse del titolare, senza pregiudicare i diritti e gli interessi dell'Interessato, e a condizione che non vengano trattati dati sensibili.

Per ricorrere al legittimo interesse è bene precisare che anche la PDPL, attraverso i regolamenti attuativi, prevede la conduzione di una apposita valutazione, equivalente al Legitimate Interest Assessment (“LIA”). 

Gli adempimenti previsti dalla PDPL

Fra gli obblighi in capo ai titolari del trattamento, la PDPL prevede: 

• La realizzazione di una privacy policy, da fornire agli interessati prima della raccolta dei dati (articolo 12);
• La tenuta di un registro delle attività di trattamento condotte, da esibire in caso di controlli dell’Autorità competente (articolo 31);
• L’implementazione di misure “organizzative, amministrative e tecniche” a protezione dei dati personali (articolo 19);
• L’implementazione di misure di sicurezza aggiuntive e di controlli specifici in caso di trattamento di dati sulla salute (articolo 23);
• L’implementazione di misure di sicurezza aggiuntive e di controlli specifici in caso di trattamento di dati relativi al credito / informazioni finanziarie (articolo 24);
• La comunicazione di eventuali data breach all’Autorità competente e agli interessati (articolo 20); 
• La realizzazione di una valutazione d'impatto del Trattamento dei dati personali, in relazione a qualsiasi prodotto o servizio, in base alla natura dell'attività svolta dal Titolare (articolo 22).

Il trattamento dei dati per scopi promozionali 

Gli articoli 25 e 26 della norma includono disposizioni specifiche sul trattamento effettuato per finalità di marketing. Il titolare può legittimamente inviare materiale pubblicitario utilizzando i mezzi di comunicazione personali dell’Interessato, compresa la posta cartacea ed elettronica, solo qualora rispetti tre condizioni: 

1. la raccolta di un consenso preventivo del destinatario; 
2. l’implementazione di un meccanismo che consenta al destinatario di chiedere di non ricevere più tale materiale;
3. il rispetto delle regole di dettaglio previste all’interno dei regolamenti attuativi. 

Il trasferimento transfrontaliero dei dati personali

Anche per quanto riguarda il trasferimento transfrontaliero dei dati personali, la PDPL prevede tre condizioni che devono essere soddisfatte affinché il trasferimento sia lecito: 

1. il trasferimento non deve arrecare alcun pregiudizio alla sicurezza nazionale o agli interessi vitali del Regno;
2. esiste un livello adeguato di protezione dei dati personali al di fuori del Regno, equivalente a quello garantito dalla PDPL. L’adeguatezza viene stabilita attraverso una valutazione condotta dall’Autorità competente in coordinamento con chiunque ritenga opportuno tra le altre autorità competenti;
3. il trasferimento sia limitato alla quantità minima di dati personali necessari.

Qualora il titolare garantisca il rispetto di tali condizioni, il trasferimento può avvenire al fine di raggiungere gli scopi elencati all’articolo 29, ovvero:

• Se il trasferimento riguarda l’adempimento di un obbligo previsto da un accordo di cui il Regno è parte;
• Se si tratta di servire gli interessi del Regno;
• Se si tratta dell'adempimento di un obbligo di cui l’interessato è parte. 
• Se si tratta di adempiere ad altre finalità previste dai regolamenti attuativi.

I diritti dell’interessato

Come anticipato, la PDPL introduce nell’ordinamento dell’Arabia Saudita forme di tutela degli interessati ispirate a quelle previste dal Capo III del GDPR. L’art. 4 della PDPL, infatti, garantisce: 

• Il diritto di essere informati sulla base giuridica e sulle finalità della raccolta dei dati personali;
• Il diritto di accedere ai propri dati personali in possesso del titolare del trattamento;
• Il diritto di chiedere di ottenere i propri dati personali in possesso del titolare del trattamento in un formato leggibile e chiaro, secondo i controlli e le procedure specificate dai regolamenti attuativi;
• Il diritto di richiedere la rettifica, il completamento o l’aggiornamento dei propri dati personali in possesso del titolare del trattamento;
• Il diritto di richiedere la distruzione dei propri dati personali in possesso del titolare del trattamento quando tali dati personali non sono più necessari all’Interessato.

In aggiunta, l’articolo 21 impone al titolare di rispondere alle richieste dell’interessato in merito ai suoi diritti entro specifici termini e rispettando le modalità stabilite tramite i regolamenti attuativi. 

Altre peculiarità e differenze con il GDPR

Fra le peculiarità che differenziano la PDPL dal GDPR, segnaliamo, inoltre, quanto segue: 

• la PDPL si applica anche al trattamento di dati personali relativi a persone decedute, se ciò può portare alla loro identificazione specifica o a quella di un membro della loro famiglia;
• nella PDPL i dati giudiziari, relativi a condanne penali e reati, rientrano nel novero dei dati sensibili, ai sensi dell’articolo 1, punto 11;
• nella PDPL è prevista una definizione ad hoc per le informazioni relative allo stato finanziario, alla richiesta o all’ottenimento di un finanziamento da parte di un ente finanziatore, compresi i dati relativi alla capacità dell'individuo di ottenere e rimborsare i debiti e la storia creditizia di tale persona;
• per tutelare quest’ultima categoria di informazioni personali, la PDPL richiede misure di sicurezza aggiuntive;
• la PDPL include disposizioni relative a regolamentare l’utilizzo degli strumenti per le attività di trattamento (i mezzi). Tali strumenti devono essere “adeguati alle caratteristiche dell’interessato, devono essere diretti, chiari e sicuri e non devono comportare alcun inganno o estorsione”.

Le sanzioni previste

Concludiamo la disamina della PDPL parlando di sanzioni. Gli articoli 35 e ss. della norma prevedono sanzioni fino a cinque milioni di Riyal (circa 1,2 milioni di euro) per chiunque violi una qualsiasi delle disposizioni della PDPL. Tale limite edittale può essere esteso e raddoppiato in caso di violazione ripetuta.

In aggiunta, la Legge prevede anche sanzioni penali, in capo a chiunque divulghi o pubblichi dati sensibili con l’intento di danneggiare l’Interessato o di ottenere un vantaggio personale. In questo caso, infatti, è prevista la reclusione fino a due anni e/o una ammenda pari a tre milioni di Riyal (circa 750.000 euro), che può essere raddoppiata dal tribunale competente in caso di recidiva.

Per evitare di incorrere in sanzioni, le organizzazioni dovranno adeguarsi entro un anno a partire dalla data di entrata in vigore della norma (periodo transitorio). 

Se ti interessa restare aggiornato sulle novità privacy dal mondo iscriviti alla newsletter ASSO DPO, clicca qui.

Fonti: 

• la PDPL in inglese
• i regolamenti attuativi, disponibili in arabo 
• il regolamento sui trasferimenti transfrontalieri, disponibile in arabo 
• la scheda informativa di Data Guidance