ITA
Search
Open-menu

Data governance e cybersecurity nell’ASEAN: quadro comparato e impatti sull’export digitale

L’ASEAN evolve su data governance e cybersecurity tra integrazione (DEFA) e regole nazionali diverse, creando sfide e opportunità per l’export digitale italiano.

Introduzione

La rapida crescita dell’economia digitale nel Sud-est asiatico ha reso la governance dei dati e la cybersecurity elementi sempre più cruciali. In ASEAN, il boom di piattaforme virtuali e servizi online procede in parallelo a sfide normative: approcci frammentati, divari digitali e crescenti preoccupazioni per la sovranità dei dati e la sicurezza informatica. I governi dell’area devono decidere se subire i cambiamenti oppure provare a plasmarli proattivamente.

Ne è prova il fatto che l’ASEAN stia negoziando un Digital Economy Framework Agreement (DEFA) regionale, il primo accordo vincolante al mondo dedicato esclusivamente alla governance dell’economia digitale. In un mercato digitale ASEAN destinato a triplicare entro il 2030 (da circa US$300 miliardi a quasi US$1,000 miliardi), capire e gestire proattivamente le normative locali può fare la differenza tra cogliere nuove opportunità o restare esclusi.

Di seguito presentiamo un quadro comparato delle normative su data governance e cybersecurity in quattro mercati chiave – Singapore, Indonesia, Thailandia e Malaysia – evidenziando convergenze, differenze e impatti sulle strategie di export digitale delle aziende italiane, con riferimenti a casi concreti e dati aggiornati al 2025.

Panoramica regionale: strategia digitale ASEAN e frammentazione normativa

A livello regionale, l’ASEAN sta cercando di bilanciare la libera circolazione dei dati con adeguate tutele di privacy, proprietà intellettuale e sicurezza nazionale. Documenti come l’ASEAN Framework on Digital Data Governance (2018) delineano principi condivisi, e iniziative come l’ASEAN Data Management Framework e le ASEAN Model Contractual Clauses (MCCs) (pubblicate nel 2021) forniscono linee guida non vincolanti per facilitare la gestione dei dati e i trasferimenti transfrontalieri all’interno dell’ASEAN.

Inoltre, il citato DEFA, che dovrebbe essere attuato a partire dal 2026, rappresenta uno sforzo concertato per integrare l’attuale mosaico di regole nazionali. DEFA mira a creare un ecosistema digitale più coerente, abilitando flussi di dati “affidabili” oltre frontiera e norme comuni su e-commerce, identità digitale, pagamenti e sicurezza informatica. Un quadro armonizzato ridurrebbe le divergenze regolamentari, abbassando i costi di conformità e creando un ambiente interoperabile vantaggioso sia per i paesi ASEAN sia per i partner esterni.

Nonostante questi sforzi, ad oggi la frammentazione normativa rimane significativa. Ciascun Paese ASEAN ha introdotto il proprio impianto di leggi e regolamenti su protezione dei dati personali e cybersecurity, con differenze notevoli. Ad esempio, alcune nazioni (come l’Indonesia) hanno promosso politiche di data sovereignty e requisiti di localizzazione dei dati, mentre altre (come Singapore) privilegiano approcci più aperti ma basati sulla fiducia e su robuste tutele contrattuali.

Queste variazioni (ad esempio nei criteri per definire dati sensibili, nei diritti riconosciuti agli interessati, negli obblighi di sicurezza e notifica) costringono le aziende che operano in più giurisdizioni ad affrontare onerosi sforzi aggiuntivi di compliance. Per le imprese estere, soprattutto PMI, dover rispettare requisiti multipli e talvolta contrastanti comporta costi elevati e incertezza operativa.

In sintesi, mentre l’ASEAN riconosce la necessità di integrazione digitale (anche conferendo all’Italia lo status di Development Partner dal 2020 per cooperare su questi temi), nel breve termine le aziende devono navigare un complesso panorama normativo locale.

Vediamo ora in dettaglio il quadro in Singapore, Indonesia, Thailandia e Malaysia, mercati di punta che rappresentano bene le tendenze regionali.

Singapore

Singapore è considerata un benchmark regionale per standard elevati di protezione dei dati e sicurezza informatica. La sua legge cardine è il Personal Data Protection Act (PDPA), promulgato nel 2012 ed emendato nel 2020, che disciplina in modo onnicomprensivo la raccolta, l’uso e la divulgazione dei dati personali da parte di organizzazioni private. Il PDPA è pensato per proteggere le informazioni personali degli individui senza soffocare le esigenze di business legittime. Esso richiede alle aziende, tra l’altro:

  • DPO e gestione consapevole dei dati: nominare un Data Protection Officer interno e informare chiaramente gli interessati sulle finalità della raccolta dati, ottenendone il consenso per gli usi previsti. I dati raccolti possono essere utilizzati solo per scopi specificati (principio di limitazione delle finalità).
  • Sicurezza e data breach: adottare misure ragionevoli di sicurezza per prevenire accessi non autorizzati o perdite di dati. Dal 2021, è in vigore un obbligo di notifica entro 72 ore al Garante locale (Personal Data Protection Commission, PDPC) e agli individui colpiti in caso di violazioni che causino danni significativi o coinvolgano dati di oltre 500 persone.
  • Conservazione minima e trasferimenti esteri: non trattenere i dati più a lungo del necessario e, in caso di trasferimento all’estero, assicurarsi che il destinatario garantisca standard di protezione comparabili a quelli singaporiani. In pratica, le aziende di Singapore che inviano dati personali fuori dal Paese devono inserire clausole contrattuali vincolanti affinché il partner estero mantenga un livello di tutela equivalente al PDPA. In alternativa, possono adottare Binding Corporate Rules approvate o ottenere il consenso esplicito dell’interessato al trasferimento.

Il regime di enforcement a Singapore è rigoroso ma calibrato. La PDPC può comminare multe fino al 10% del fatturato annuale dell’azienda (per grandi imprese) oppure S$1 milione per le altre. Numerose sanzioni sono state erogate per violazioni del PDPA, spesso relative ad accessi o divulgazioni non autorizzate di dati personali, con importi variabili in base alla gravità, alle azioni correttive intraprese e alla cooperazione dell’azienda durante le indagini. L’approccio di Singapore infatti incoraggia le organizzazioni a proseguire le attività digitali ma mantenendo adeguate cautele di sicurezza, punendo in modo esemplare solo i casi di grave negligenza o mancata collaborazione.

Accanto al PDPA, Singapore ha introdotto un quadro normativo avanzato di cybersecurity. Il Cybersecurity Act 2018 istituisce obblighi specifici per gli operatori di infrastrutture critiche (settori come energia, trasporti, sanità, telecomunicazioni, finanza ecc.), imponendo loro di adottare misure di protezione cibernetica, consentire ispezioni e segnalare tempestivamente incidenti al Cyber Security Agency nazionale. Inoltre, dal 2022 Singapore richiede una licenza obbligatoria per i fornitori di determinati servizi di sicurezza informatica: in particolare, le società che offrono servizi di penetration testing o di monitoraggio gestito delle reti (SOC) devono ottenere un’autorizzazione dalla Cybersecurity Services Regulation Office, pena multe fino a S$50.000 e due anni di carcere per esercizio abusivo.

Indonesia

Indonesia, mercato ASEAN tra i più popolosi e digitalmente dinamici, ha compiuto di recente un passo storico dotandosi di una legge generale sulla protezione dei dati personali. Nell’ottobre 2022 è stata infatti promulgata la Personal Data Protection Law (Legge n. 27/2022), entrata a pieno regime dopo un periodo transitorio biennale concluso a ottobre 2024. Prima di allora, il Paese non disponeva di un unico testo di riferimento: la tutela della privacy era dispersa tra varie normative settoriali e regolamenti tecnici (dalla legge sulle transazioni elettroniche, ai regolamenti dell’Autorità delle comunicazioni). L’emanazione della PDP Law unifica e modernizza questo quadro, modellandolo in larga parte sul GDPR europeo.

La PDP Law indonesiana introduce principi chiave e obblighi che le imprese italiane devono ben comprendere se gestiscono dati di cittadini indonesiani. In estrema sintesi:

  • Basi legali e consenso: il trattamento dei dati personali richiede una base giuridica chiara. Sono riconosciute diverse basi lecite (consenso dell’interessato, esecuzione di un contratto, obblighi legali, interessi vitali, interesse pubblico, legittimo interesse del titolare, etc.), analogamente al GDPR.  
  • Diritti degli interessati: vengono garantiti numerosi diritti alle persone, simili a quelli europei: diritto all’informazione e trasparenza, accesso ai propri dati, rettifica, cancellazione (“diritto all’oblio”), limitazione del trattamento, opposizione a decisioni basate unicamente su trattamenti automatizzati, e portabilità dei dati. Ad esempio, un utente indonesiano può richiedere a un’azienda italiana che opera online di cancellare i propri dati o trasferirli ad altro fornitore, e l’azienda dovrà ottemperare entro limiti ragionevoli.
  • Data breach e sicurezza: in caso di violazione dei dati personali, il titolare deve notificare l’incidente sia agli interessati sia all’Autorità (PDP Agency) entro 72 ore dalla scoperta. Se la violazione può compromettere servizi pubblici o interessi collettivi, occorre dare notizia anche al pubblico. La legge definisce “fallimento nella protezione dei dati” qualsiasi violazione di riservatezza, integrità o disponibilità dei dati, sia per cause accidentali che dolose.
  • Trasferimenti internazionali di dati: l’Indonesia adotta un approccio graduale. I dati personali possono essere trasferiti fuori dal Paese solo se il titolare indonesiano garantisce che: (1) il Paese di destinazione offre un livello di protezione pari o superiore a quello della PDP Law (in futuro sarà il nuovo PDP Agency a valutare e pubblicare una lista di Paesi “adeguati”); oppure (2) in mancanza di adeguatezza del Paese, siano previste salvaguardie appropriate (ad esempio clausole contrattuali vincolanti tra esportatore e importatore dei dati, regole aziendali vincolanti, certificazioni, ecc.); in alternativa (3) se non ricorre né l’adeguatezza né un meccanismo di garanzia, si deve ottenere il consenso esplicito del soggetto i cui dati sono interessati dal trasferimento. In pratica, un’azienda italiana che volesse esportare dati di clienti indonesiani verso server in Europa deve inserire clausole contrattuali modello o Binding Corporate Rules per assicurare protezione continua, a meno che l’UE venga riconosciuta formalmente come “adeguata” dall’Indonesia (cosa non ancora avvenuta al 2025). Si noti che l’attuazione dettagliata di queste regole è demandata a un regolamento governativo in fase di sviluppo; fino all’istituzione effettiva dell’Authority per la privacy indonesiana, restano valide alcune procedure precedenti, come l’obbligo (ora forse superfluo) di notificare al Ministero KOMINFO i trasferimenti di dati all’estero.

Un aspetto peculiare del contesto indonesiano è la forte enfasi su concetti di sovranità digitale e controllo nazionale dei dati, che traspare in vari atti normativi oltre la PDP Law. Già dal 2012 l’Indonesia aveva introdotto requisiti di data localization: ad esempio, un regolamento del 2019 (Gov. Reg. 71/2019) ha imposto che i cosiddetti Operatori di Sistemi Elettronici privati che offrono servizi al pubblico possono conservare dati all’estero solo a condizione di garantirne l’accessibilità alle autorità indonesiane per scopi di vigilanza e applicazione della legge.

In settori sensibili, la localizzazione è obbligatoria: la Banca Centrale e l’Autorità di Vigilanza Finanziaria (OJK) richiedono alle banche e istituti finanziari di collocare i data center e centri di disaster recovery sul territorio nazionaledigitalpolicyalert.org. Nel luglio 2022, ad esempio, OJK ha emanato il Regolamento n.11/2022 sull’implementazione dell’IT bancario che formalizza questo vincolo: le banche devono detenere i propri server primari e di backup in Indonesia.

Per gli esportatori digitali italiani, l’Indonesia rappresenta quindi un mercato ampio ma impegnativo sul piano normativo. La complessità deriva non solo dalla nuova PDP Law (che in gran parte ricalca principi ormai noti in Europa), ma da un ecosistema normativo multilivello: alle regole generali si sommano quelle specifiche di autorità come KOMINFO, Bank Indonesia, OJK, oltre a possibili regolamentazioni provinciali. Ad esempio, una fintech italiana che voglia offrire servizi di pagamento via app dovrà: ottenere licenze dalla Bank Indonesia, rispettare le norme OJK se opera nel credito, assicurarsi che i dati delle transazioni siano conservati su server locali accessibili alle ispezioni, nominare eventualmente un rappresentante locale per rapporti con le autorità e predisporre moduli di consenso e informative privacy in lingua indonesiana secondo gli standard della PDP Law.

Thailandia

Anche la Thailandia ha intrapreso un percorso di adeguamento ai moderni standard di data protection e cybersecurity, soprattutto con l’entrata in vigore piena del Personal Data Protection Act (PDPA) a partire dal 1° giugno 2022. Il PDPA thailandese, approvato originariamente nel 2019, è stato più volte posticipato per dare tempo a imprese e istituzioni di prepararsi (proroghe nel 2020 e 2021), ma ora costituisce il quadro giuridico fondamentale per qualsiasi entità che tratti dati personali riferiti a soggetti in Thailandia, indipendentemente dal fatto che l’organizzazione abbia sede nel Paese o all’estero. Ciò significa che anche un’azienda italiana senza presenza locale, ma che offre servizi online a utenti thailandesi, ricade sotto il PDPA (effetto extraterritoriale).

Il testo è ispirato in larga parte al GDPR europeo, pur con adattamenti al contesto locale. Alcuni punti salienti del PDPA thailandese:

  • Categorie di dati e consenso: il PDPA distingue i dati personali generici da quelli sensibili. Questi ultimi includono origine etnica, opinioni politiche, credo religioso, dati sanitari, biometrici, informazioni genetiche, orientamento sessuale, e altri dati “delicati”, per i quali è richiesto un consenso esplicito e scritto salvo limitate eccezioni. In generale, il principio base è che qualsiasi raccolta, uso o divulgazione di dati personali richiede il consenso preventivo e informato dell’interessato, a meno che non si applichi una delle eccezioni previste (simili a quelle GDPR: ad esempio necessità contrattuale, obbligo legale, pubblico interesse, interessi vitali della persona, o legittimo interesse del titolare bilanciato con i diritti dell’interessato).
  • Diritti dei soggetti e obblighi dei titolari: gli individui hanno diritti articolati, tra cui il diritto a essere informati (sull’uso dei propri dati), di accedere ai dati detenuti dall’azienda, di rettificarli se inesatti, di revocare il consenso dato e di chiedere la cancellazione o anonimizzazione dei dati quando non più necessari.
  • Misure di sicurezza e notifica delle violazioni: il PDPA impone ai titolari di implementare misure di sicurezza appropriate per proteggere i dati da accessi, usi o divulgazioni non autorizzati, nonché dalla perdita o alterazione dei dati. Importante evidenziare che dal giugno 2022 è obbligatorio notificare ogni data breach significativo: i titolari devono informare l’Autorità (PDPC) senza ritardo e possibilmente entro 72 ore da quando sono venuti a conoscenza della violazione. Se la violazione comporta rischi elevati per i diritti e le libertà delle persone, anche gli interessati devono essere avvisati delle possibili conseguenze e delle misure mitigative adottate.
  • Trasferimenti internazionali: la Thailandia adotta un regime restrittivo simile a quello europeo. È vietato trasferire dati personali verso un Paese estero che non garantisca standard di protezione adeguati a giudizio del PDPC, salvo che ricorrano eccezioni o misure di garanzia. Le eccezioni includono: consenso esplicito dell’interessato al trasferimento (dopo averlo informato delle possibili mancanze di tutela all’estero); necessità per l’adempimento di un contratto con l’interessato; necessità per tutelare un interesse vitale dell’interessato, ecc.

Un elemento che merita evidenza è il crescente enforcement thailandese in materia di data protection. Nel 2024 il PDPC ha comminato le sue prime sanzioni esemplari. In agosto 2024, ad esempio, è stata annunciata un’ammenda record di 7 milioni di baht (circa €185.000) nei confronti di una grande piattaforma di e-commerce locale (il nome non è stato reso pubblico) per violazioni multiple del PDPA. L’azienda in questione non aveva designato un Data Protection Officer obbligatorio, non aveva predisposto misure di sicurezza adeguate e, in seguito a un data breach subito, aveva omesso di notificarlo all’Autorità e di mitigare i danni agli utenti. Questo caso funge da monito importante: la Thailandia intende applicare seriamente la legge dopo la fase transitoria.

In conclusione, la Thailandia offre un contesto normativo in rapida maturazione. Dal punto di vista di un export manager italiano, ci sono analogie col GDPR che semplificano l’adeguamento (specie per aziende già conformi in UE), ma anche alcune particolarità (ad esempio, requisiti stringenti di consenso esplicito, moduli bilingue in thai per privacy policy, iter autorizzativi per trasferire dati fuori Paese, ecc.).

Malaysia

La Malaysia è stato uno dei primi paesi del Sud-est asiatico a dotarsi di una legge organica sulla protezione dei dati, con il Personal Data Protection Act (PDPA) promulgato nel 2010 ed entrato in vigore nel 2013. Per lungo tempo, tuttavia, questo quadro normativo è rimasto relativamente statico e in parte superato dai nuovi sviluppi digitali.

A luglio 2024 il Parlamento malese ha approvato il Personal Data Protection (Amendment) Bill 2024, segnando una svolta verso l’allineamento agli standard globali. Le modifiche introducono diverse novità di rilievo:

  • Notifica obbligatoria delle violazioni dei dati: finalmente viene colmata la lacuna sulle data breach. Le organizzazioni dovranno segnalare al Commissioner per la Protezione dei Dati Personali ogni violazione che coinvolga dati personali entro 72 ore dalla scoperta.
  • Obbligo di Data Protection Officer (DPO): le aziende (titolari e persino i responsabili del trattamento) dovranno designare almeno un responsabile interno per la protezione dei dati. Il DPO avrà il compito di supervisionare la strategia di protezione dati e fungere da punto di contatto con l’Autorità e con gli interessati.
  • Estensione degli obblighi ai data processor: mentre il PDPA 2010 si applicava solo ai “data user” (titolari del trattamento), lasciando fuori dal suo testo i fornitori terzi, le modifiche impongono responsabilità dirette anche ai responsabili esterni che trattano dati per conto dei titolari.
  • Nuovi diritti e categorie di dati: viene introdotto il diritto alla portabilità dei dati per gli interessati, “compatibilmente con la fattibilità tecnica e la interoperabilità del formato”. Inoltre, i dati biometrici (impronte digitali, scansioni facciali, DNA, ecc.) vengono aggiunti alla definizione di “dati personali sensibili”, colmando un vuoto della legge originaria che non li menzionava espressamente.
  • Trasferimenti internazionali più rigorosi ma flessibili: finora la Malaysia adottava un meccanismo di whitelist di paesi approvati dal governo verso cui i dati potevano fluire liberamente. Tale lista però non è mai stata aggiornata frequentemente (all’atto pratico molte aziende richiedevano il consenso degli interessati o usavano escamotage per trasferire dati all’estero, vista la scarsa chiarezza).

Parallelamente agli avanzamenti sul fronte privacy, la Malaysia sta potenziando anche l’architettura di cybersecurity nazionale. Nel 2020 è stata varata la Malaysia Cyber Security Strategy 2020-2024 (MCSS), con un investimento di 1,8 miliardi di RM (circa US$434 milioni) per rafforzare le capacità di prevenzione, difesa e risposta alle minacce cyber. Nel 2024 il Pha anche introdotto una nuova legge dedicata alla cybersecurity: il Cyber Security Act 2024.Il Cyber Security Act ha portata extraterritoriale, applicandosi a qualsiasi soggetto nel mondo che causi attacchi alle infrastrutture critiche. Questo rafforzo normativo evidenzia che la sicurezza informatica è ormai considerata parte integrante dell’attrattività del Paese come hub digitale.

Per un’azienda italiana del settore tech o difesa interessata al mercato malese, ciò significa da un lato nuove opportunità (la domanda di soluzioni e consulenza cyber è in aumento, finanziata anche dal governo), dall’altro la necessità di ottenere eventuali licenze locali e conformarsi a standard tecnici specifici definiti da CyberSecurity Malaysia e NACSA.

Impatti sull’export digitale e sugli operatori italiani

Le implicazioni pratiche di questo quadro normativo per le imprese italiane attive (o aspiranti tali) nell’export digitale verso l’ASEAN sono molteplici. Si possono distinguere sfide, in termini di requisiti di compliance, rischi e costi, ma anche opportunità e leve strategiche da sfruttare.

Requisiti di compliance per settori chiave: a seconda della tipologia di servizio/prodotto digitale, le imprese devono fronteggiare specifici obblighi:

  • Software-as-a-Service (SaaS): dovendo tipicamente raccogliere e conservare dati dei clienti (account, email, contenuti caricati), un provider SaaS deve garantire conformità alle leggi privacy locali (consensi per l’uso dei dati, informative nella lingua locale, meccanismi per esercizio dei diritti).
  • E-commerce e piattaforme digitali: in questo settore l’attenzione è sulla protezione dei dati dei consumatori (dati personali, cronologia acquisti, pagamenti) e sulla content regulation. Le normative privacy impongono, ad esempio, che le piattaforme di e-commerce ottengano consensi per finalità di marketing (newsletter, retargeting) e che adottino misure di sicurezza contro furti di dati (soprattutto dopo casi clamorosi come Tokopedia). Inoltre, normative consumeristiche prevedono obblighi di localizzazione del servizio clienti e risoluzione dispute. Un e-commerce italiano dovrà quindi valutare se costituire entità locali (necessario in alcuni paesi per poter, ad esempio, incassare pagamenti in valuta locale) e predisporre soluzioni di data hosting ibride: può decidere di ospitare i dati generici degli utenti su un server ASEAN (Singapore) per latenza e compliance, ma tenere i dati sensibili (pagamenti) segregati secondo i dettami nazionali (es. carte di credito malesi elaborate tramite gateway certificati localmente).
  • Soluzioni di intelligenza artificiale (AI) e data analytics: questo è un campo emergente dove le normative di data governance hanno forte impatto. Sistemi di AI che trattano dati personali (es. algoritmi di profilazione utenti, riconoscimento facciale) dovranno rispettare i principi di minimizzazione e finalità: in Thailandia, ad esempio, usare dati biometrici per AI richiede il consenso esplicito in quanto dati sensibili. Tutti i paesi impongono limiti alle decisioni interamente automatizzate che producono effetti significativi sull’individuo, spesso dando diritto all’intervento umano su richiesta. Dunque un’azienda italiana che fornisce soluzioni IA per marketing dovrà incorporare meccanismi di opt-out e spiegabilità per conformarsi alle leggi locali
  • Cybersecurity tools e servizi di sicurezza: paradossalmente, le aziende che offrono prodotti o servizi di cybersecurity dovranno essere tra le più attente alla compliance. Come visto, Singapore e Malaysia ora richiedono licenze specifiche per fornire certi servizi (p.e. se un’azienda italiana volesse vendere servizi di penetration testing in quei paesi, deve ottenere la licenza CSA a Singapore e potenzialmente registrarsi come Cybersecurity Service Provider in Malaysia secondo il nuovo Act. Anche in Thailandia vi è la previsione di registrare le Critical Information Infrastructure e i rispettivi fornitori chiave.
Autori
Benussi
Riccardo Benussi

Partner di Dezan Shira & Associates, società di consulenza sugli investimenti in Asia, guida lo sviluppo commerciale europeo e supporta le imprese nei mercati asiatici.

Data governance e cybersecurity nell’ASEAN: quadro comparato e impatti sull’export digitale
25 marzo 2026
Digit Export