La legge sulla protezione dei dati e sulla privacy in Ruanda ora allinea il Paese agli standard internazionali sulla protezione dei dati, essenziali per le moderne economie digitali basate sull'e-commerce, sulle transazioni finanziarie internazionali e sui vari servizi online. Siete pronti ad adeguarvi?
La legge sulla protezione dei dati e sulla privacy del Ruanda (Legge n. 058/2021 del 13 ottobre 2021) stabilisce un quadro giuridico completo che regola la raccolta, il trattamento, il trasferimento e la protezione dei dati personali. Uno dei principi fondamentali della legge sulla protezione dei dati e sulla privacy in Ruanda è l'obbligo di ottenere il consenso chiaro e inequivocabile di un individuo alla raccolta, alla conservazione e al trattamento dei propri dati personali, che è un diritto fondamentale.
Le aziende devono adottare una serie di misure per conformarsi alla legge in Ruanda. Tra queste:
Registro:
Registrazione presso la NCSA come titolare o responsabile del trattamento dei dati entro 30 giorni lavorativi
Nominare un DPO:
Nominare un responsabile della protezione dei dati (RPD) se il trattamento è su larga scala o coinvolge dati sensibili
Conservare i registri:
Mantenere i registri di elaborazione, eseguire DPIA per attività ad alto rischio e implementare misure di sicurezza
Segnalare le violazioni:
Notificare alla NCSA le violazioni entro 48 ore, nonché alle persone interessate per quanto riguarda i rischi per i loro diritti.
Informativa sulla privacy:
Pubblicazione di informative sulla privacy che informano sull'uso dei dati, sulla conservazione, sui trasferimenti all'estero e sui diritti degli interessati
Ottenere il consenso, anche per i cookie, per i trattamenti non essenziali
Valutazione del trasferimento transfrontaliero dei dati
La legge si applica a:
Tutti i titolari o responsabili del trattamento dei dati in Ruanda (pubblici o privati)
Soggetti stranieri che trattano dati personali di cittadini ruandesi o che trasferiscono dati all'estero
Ciò include PMI, ONG, enti pubblici, startup tecnologiche, fintech, piattaforme di e-commerce e qualsiasi organizzazione che gestisca dati personali di cittadini ruandesi.
Il DPPL del Ruanda garantisce ai residenti una serie di diritti sulla privacy dei dati, tra cui:
Richiedere l'accesso alle proprie informazioni personali
Richiedi di sapere come vengono raccolti e utilizzati i dati personali
Richiedere la correzione di informazioni inaccurate, incomplete o non aggiornate
Richiedere la cancellazione dei propri dati personali in determinate circostanze
Richiesta di esclusione dal trattamento dei propri dati
Richiedi dati in un formato strutturato e di uso comune
Richiedere che le decisioni non siano prese esclusivamente tramite elaborazione automatizzata
Le organizzazioni devono ottenere il consenso del consumatore prima di elaborare i dati
Sebbene la legge non menzioni esplicitamente i cookie, il loro utilizzo rientra nel trattamento dei dati personali (ad esempio, identificativi online, profilazione). Il consenso deve essere:
Libero, specifico, informato ed esplicito, e riguardare finalità distinte (ad esempio, analisi vs pubblicità)
Revocabile in qualsiasi momento
L'implementazione di banner per i cookie con controlli granulari (categorie di accettazione/rifiuto) e un centro preferenze, in linea con i principi di consenso in stile UE, è considerata una buona pratica per le aziende che operano in Ruanda.
La legge definisce le sanzioni amministrative e penali in caso di inosservanza:
Le sanzioni amministrative (articolo 53) includono:
Multe comprese tra 2 e 5 milioni di RWF (circa 2.000-5.000 USD) o fino all'1% del fatturato annuo globale per le società
I reati penali (articoli 56-61) includono:
Uso improprio intenzionale dei dati, reidentificazione non autorizzata, false informazioni, trattamento improprio di dati sensibili: da 1 a 3 anni di reclusione e multe comprese tra 7 e 10 milioni di RWF (o il 5% del fatturato globale per le persone giuridiche)
I tribunali possono anche imporre la chiusura delle attività o revocare i certificati di registrazione.
La conformità al DPPL è raggiungibile implementando una serie di buone pratiche in materia di privacy dei dati:
Eseguire audit di dati e cookie:
Esaminare le attuali pratiche sui dati per identificare le aree di allineamento con il DPPL
Aggiorna le politiche sulla privacy e sui cookie:
Rivedere le informative sulla privacy per delineare chiaramente le pratiche sui dati, i diritti dei consumatori e come esercitare tali diritti
Implementare la gestione del consenso:
Gestisci l'uso dei cookie e il consenso con una piattaforma completa di gestione del consenso come CookieHub
Formare i dipendenti:
Fornire ai dipendenti una formazione sull'importanza della conformità al DPPL
Implementare processi di violazione:
Garantire percorsi chiari per informare i consumatori sulle violazioni dei dati
Assegnare un responsabile della privacy:
Aggiungi un responsabile della privacy alla tua organizzazione per gestire la conformità
Una piattaforma di gestione del consenso come CookieHub può facilitare il consenso sui cookie conforme gestendo preferenze granulari, registrando le scelte degli utenti, bloccando automaticamente gli script non essenziali fino al consenso e generando record di conformità pronti per la verifica.
La Legge sulla Protezione dei Dati e sulla Privacy (DPPL) in Ruanda regola la raccolta, l'elaborazione, l'archiviazione e la condivisione dei dati personali. Si applica sia agli enti pubblici che a quelli privati che trattano dati personali di individui in Ruanda, sia alle organizzazioni esterne al Ruanda che trattano dati di residenti ruandesi. La legge garantisce che i dati personali siano trattati in modo lecito, equo e trasparente.
Personal data is any information relating to an identified or identifiable natural person. This includes, but is not limited to, names, identification numbers, location data, online identifiers, or any data that can directly or indirectly identify an individual.
I dati sensibili si riferiscono a una categoria speciale di dati personali che richiedono una protezione rafforzata. Tra questi rientrano informazioni relative all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, allo stato di salute, ai dati genetici o biometrici, all'orientamento sessuale o all'appartenenza sindacale.
L'autorità di regolamentazione responsabile della supervisione dell'attuazione e dell'applicazione del DPPL in Ruanda è la National Cyber Security Authority (NCSA), in particolare attraverso il suo Data Protection Office.
In determinati casi, possono essere previste esenzioni dal DPPL, come il trattamento per attività personali o domestiche, la sicurezza nazionale, l'applicazione della legge, l'interesse pubblico o per scopi di ricerca e statistici, a condizione che siano adottate adeguate garanzie. Le esenzioni specifiche sono definite dalla legge e dai regolamenti pertinenti.
È possibile accedere al testo completo del DPPL e alle linee guida correlate tramite il sito web della National Cyber Security Authority (NCSA) oppure consultare professionisti legali specializzati nella protezione dei dati in Ruanda.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
