Conformità alle disposizioni chiave della Legge sulla protezione delle informazioni personali del Sud Africa (South Africa Protection of Personal Information Act)

Nel novembre 2013, il Parlamento della Repubblica del Sud Africa ha emanato la Legge sulla protezione delle informazioni personali del Sud Africa (South Africa Protection of Personal Information Act, POPIA), 2013:

Promuovere la protezione delle informazioni personali trattate da corpi privati e pubblici; introdurre determinate condizioni in modo tale da stabilire requisiti minimi per il trattamento delle informazioni personali; provvedere all'instaurazione di un Regolatore per le informazioni al fine di esercitare determinati poteri e svolgere determinati doveri e funzioni ai sensi della presente Legge e della Legge di promozione di accesso all'informazione (Promotion of Access to Information Act), 2000; provvedere all'emissione di codici di condotta; provvedere ai diritti di persone riguardanti comunicazioni elettroniche non richieste e processi decisionali automatizzati; regolare il flusso di informazioni personali oltre i confini della Repubblica; e provvedere a materie connesse a essa.

Potenziali conseguenze della non conformità

Le sezioni 100-106 del POPI Act trattano casi in cui le parti verrebbero ritenute "colpevoli di un reato". In particolare, la Sezione 105 (Atti illeciti della parte responsabile in relazione al numero di conto) afferma che "la parte responsabile deve... aver saputo o avrebbe dovuto sapere che... [una violazione della privacy dei dati personali] avrebbe probabilmente causato danni sostanziali o disagio al soggetto interessato."

Inoltre, la Sezione 106 (Atti illeciti di terze parti in relazione al numero di conto) afferma che "una persona che consapevolmente o incautamente, senza il consenso della parte responsabile... ottiene o rivela un numero di conto di un soggetto interessato... o procura il la divulgazione di un numero di conto di una persona interessata a un'altra persona è... colpevole di un reato."

La Sezione 107 specifica quali sanzioni si applicano ai rispettivi reati. In particolare, "Qualsiasi persona condannata per un reato... è passibile... di una multa o della reclusione per un periodo non superiore a 10 anni, o sia di una multa sia di tale reclusione; o... di una multa o della reclusione per un periodo non superiore a 12 mesi, o sia di una multa sia di tale reclusione. "

Come dettagliato nella Sezione 109 della Legge, la sanzione massima "non può superare R10 milioni".

    Regolamento

    Il seguente materiale è tratto direttamente dal POPI Act della Repubblica del Sud Africa

    Misure di sicurezza sull'integrità e la riservatezza delle informazioni personali

    19. (1) Una parte responsabile deve garantire l'integrità e la riservatezza delle informazioni personali in suo possesso o sotto il suo controllo adottando misure tecniche e organizzative adeguate e ragionevoli per impedire:

    • perdita, danneggiamento o distruzione non autorizzata di informazioni personali; e
    • accesso illecito a informazioni personali o loro trattamento.

    Al fine di dare attuazione al comma (1), la parte responsabile deve adottare misure ragionevoli per:

    • identificare tutti i rischi interni ed esterni ragionevolmente prevedibili per le informazioni personali in suo possesso o sotto il suo controllo;
    • stabilire e mantenere adeguate misure di salvaguardia contro i rischi individuati;
    • verificare regolarmente che le misure di salvaguardia siano effettivamente attuate; e
    • garantire che le misure di salvaguardia siano continuamente aggiornate in risposta a nuovi rischi o carenze nelle misure di salvaguardia precedentemente implementate.

    Misure di sicurezza relative alle informazioni elaborate dall'operatore

    21. (1) Una parte responsabile deve, in termini di contratto scritto tra la parte responsabile e l'operatore, garantire che l'operatore che tratta le informazioni personali per la parte responsabile stabilisca e mantenga le misure di sicurezza di cui alla sezione 19.

    (2) L'operatore deve informare immediatamente la parte responsabile qualora sussistano fondati motivi per ritenere che le informazioni personali di un interessato siano state consultate o acquisite da una persona non autorizzata.

    Notifica di compromissione della sicurezza

    22. (1) La parte responsabile è tenuta ad avvisare, qualora sussistano fondati motivi per ritenere che le informazioni personali di un interessato siano state consultate o acquisite da una persona non autorizzata;

    • il Regolatore; e
    • soggetto al comma (3), il soggetto interessato, a meno che non sia possibile stabilire l'identità di tale interessato.

    (4) L'avviso a un soggetto interessato deve avvenire in forma scritta ed essere comunicato a esso in almeno uno dei seguenti modi:

    • Spedito all'ultimo indirizzo fisico o postale conosciuto del soggetto interessato;
    • inviato tramite posta elettronica all'ultimo indirizzo di posta elettronica noto del soggetto interessato;
    • posto in una posizione di rilievo nel sito web della parte responsabile;
    • pubblicato sui mezzi di informazione; o
    • come indicato dal Regolatore.

    Rimedi civili

    99. (1) Una persona interessata o, su richiesta della persona interessata, il Regolatore, può intentare un'azione civile per danni in un tribunale avente giurisdizione contro una parte responsabile per violazione di qualsiasi disposizione della presente Legge di cui alla sezione 73, indipendentemente dal fatto che vi sia dolo o negligenza da parte della parte responsabile.

    (3) Un procedimento giudiziario ai sensi del comma (1) può assegnare un importo giusto ed equo, tra cui:

    • il pagamento del risarcimento dei danni a titolo di risarcimento del danno patrimoniale e non patrimoniale subito da un interessato a seguito della violazione delle disposizioni della presente legge;
    • danni aggravati, in una somma determinata a discrezione della Corte;
    • interesse; e
    • costi della causa su una scala che può essere determinata dalla Corte.

    Conformità

    Gli HSM nShield Entrust® possono aiutarti a rispettare POPIA ed evitare i Requisiti di notifica di violazioni dei dati

    Sebbene POPIA non indichi chiaramente che cosa è considerato come accesso e acquisizione di dati del soggetto, le normative in tutto il mondo che trattano la protezione delle informazioni personali riportano che se i dati sono stati pseudonimizzati o ressi illeggibile a chiunque ne sia entrato in possesso, la violazione dei dati non deve essere segnalata; i dati sensibili rubati sono stati resi inutilizzabili ai ladri e inoffensivi nei confronti del soggetto interessato.

    I due approcci di migliore pratica ampiamente accettati per la pseudonimizzazione sono la crittografia e la tokenizzazione. Entrambi utilizzano chiavi crittografiche per convertire testo normale in testo cifrato illeggibile e viceversa. Se i "ladri informatici" rubano le chiavi insieme ai dati crittografati o tokenizzati, possono quindi riconvertire i dati in testo normale. Quindi, è essenziale separare le chiavi dai dati che proteggono e fornire ulteriore sicurezza per le chiavi stesse.

    Soluzioni Entrust per la sicurezza delle chiavi crittografiche

    La migliore pratica per la protezione delle chiavi crittografiche consiste nell'archiviare tali chiavi in un modulo di sicurezza hardware (HSM). Gli HSM nShield Entrust sono dispositivi hardware rinforzati e anti-manomissione che proteggono i processi crittografici generando, proteggendo e gestendo le chiavi utilizzate per crittografare e decrittografare i dati e creare firme e certificati digitali. Questi HSM sono testati, convalidati e certificati secondo i più elevati standard di sicurezza, inclusi FIPS 140-2 e Common Criteria. Gli HSM nShield Entrust consentono alle organizzazioni di:

    • Soddisfa e supera gli standard normativi stabiliti ed emergenti per la privacy dei dati
    • Ottieni livelli di sicurezza e affidabilità dei dati più elevati
    • Mantieni agilità aziendale e livelli di servizio elevati

    nShield as a Service è una soluzione basata su abbonamento per la generazione, l'accesso e la protezione del materiale della chiave crittografica, separatamente dai dati sensibili, utilizzando HSM nShield Connect certificati FIPS 140-2 Livello 3 dedicati. La soluzione offre le stesse caratteristiche e funzionalità degli HSM in locale combinate con i vantaggi di una distribuzione del servizio cloud. Ciò consente ai clienti di raggiungere i propri obiettivi prioritari per il cloud e lasciare la manutenzione di queste appliance agli esperti di Entrust.

    Risorse

    Sintesi sulla conformità: POPIA per il Sudafrica

    POPIA per il Sudafrica affronta la protezione delle informazioni personali insieme alle multe e alle azioni civili che possono derivare da una violazione.

    Brochure: Brochure della famiglia di HSM nShield Entrust

    Gli HSM nShield Entrust forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e molto altro. Gli HSM nShield Entrust sono disponibili in tre fattori di forma con certificazione FIPS 140-2 e supportano diversi scenari di distribuzione.

    Scheda tecnica: nShield as a Service

    nShield as a Service è una soluzione basata su abbonamento per la generazione, l'accesso e la protezione del materiale della chiave crittografica, utilizzando HSM nShield Connect certificati FIPS 140-2 Livello 3 dedicati.

    Soluzioni correlate

    Prodotti correlati

    Chatta adesso