La Struttura del Diritto Vietnamita sulla Protezione dei Dati nel 2026

Il regime vietnamita è ora un sistema a doppio livello: il PDPD del 2023 e il PDPL del 2026. Entrambi sono in vigore e gli editori devono capire quale livello regola quale obbligo.

Il PDPD — Decreto 13/2023/ND-CP

Il Decreto ha introdotto la prima definizione completa di dato personale del Vietnam, un catalogo di diritti degli interessati, requisiti per il consenso, norme sui trasferimenti transfrontalieri di dati e l'obbligo fondamentale di Valutazione d'Impatto sul Trattamento dei Dati Personali (DPIA). Rimane in vigore e continua a disciplinare i dettagli operativi.

Il PDPL — In Vigore dal 2026

Il PDPL eleva il quadro normativo a legislazione primaria con sanzioni più elevate e una portata più ampia. Rafforza il modello incentrato sul consenso, potenzia i diritti degli interessati ed estende i poteri di applicazione del Ministero della Pubblica Sicurezza (MPS), che rimane il principale regolatore. Il PDPL introduce anche norme più chiare per i dati personali sensibili, il processo decisionale automatizzato e il trattamento dei dati dei minori.

Chi è Soggetto alla Regolamentazione

La legge si applica a qualsiasi trattamento di dati personali vietnamiti, indipendentemente da dove si trova il responsabile del trattamento. Un editore con sede negli USA che serve utenti vietnamiti attraverso un sito localizzato o un acquirente programmatico che fa offerte su inventario vietnamita rientra nell'ambito di applicazione. Questa portata extraterritoriale rispecchia il modello GDPR ed è uno degli elementi più incisivi del quadro normativo vietnamita.

Cosa Conta come Dato Personale

La definizione vietnamita di dato personale è ampia e segue da vicino lo standard internazionale. I dati personali sono qualsiasi informazione che identifica o può identificare una specifica persona fisica e si dividono in due categorie che hanno grande rilevanza per il consenso ai cookie.

Dati Personali di Base

I dati personali di base includono nome, data di nascita, numeri di identificazione, recapiti, identificatori di dispositivo, indirizzi IP e dati sull'attività online. La maggior parte dei dati raccolti dai cookie rientra qui, compresi gli identificatori pubblicitari, gli ID di sessione e i profili comportamentali costruiti dalla cronologia di navigazione.

Dati Personali Sensibili

I dati personali sensibili includono opinioni politiche e religiose, informazioni sanitarie, dati genetici, dati biometrici, orientamento sessuale, casellario giudiziario, dati finanziari e — in modo critico — dati di localizzazione che possono essere utilizzati per identificare un individuo specifico. I dati sensibili attivano i requisiti di consenso più stringenti, incluso un consenso specifico, separato e in alcuni casi scritto o verificabile elettronicamente.

Perché Questo è Importante per i Cookie

Un cookie che raccoglie solo un identificatore di sessione di base è un dato personale di base. Un cookie che alimenta un pubblico pubblicitario basato sulla localizzazione — comune nelle campagne di retargeting e geo-targeted — probabilmente tocca dati personali sensibili nel momento in cui la localizzazione diventa identificativa. La configurazione CMP deve separare questi scopi.

Consenso ai Cookie ai Sensi della Legge Vietnamita

Il Vietnam segue il modello di consenso opt-in. Non esiste un'alternativa di notifica-e-scelta per i cookie che raccolgono dati personali, e il livello per il consenso valido è simile allo standard GDPR.

I Quattro Requisiti del Consenso

Il consenso ai sensi della legge vietnamita deve essere:

• Specifico — legato a uno scopo di trattamento chiaramente identificato, non un consenso generico onnicomprensivo
• Informato — l'interessato comprende quali dati vengono trattati, perché, chi li riceve e per quanto tempo
• Volontario — nessuna casella pre-spuntata, nessun muro di consenso-o-partenza per il trattamento non essenziale
• Esprimibile e revocabile — l'utente può fornire e revocare il consenso attraverso un meccanismo chiaro

Come Appare un CMP Conforme

Un CMP configurato per il traffico vietnamita nel 2026 dovrebbe presentare:

• Un banner visibile prima che si attivi qualsiasi cookie o tracker non essenziale, in vietnamita (Tiếng Việt) per impostazione predefinita per gli utenti vietnamiti
• Azioni separate di Accetta, Rifiuta e Personalizza, con uguale prominenza visiva — nessun dark pattern
• Controlli granulari per almeno i seguenti scopi: analisi, pubblicità, personalizzazione, trasferimento transfrontaliero e qualsiasi trattamento di categoria sensibile come la localizzazione precisa
• Un meccanismo persistente e facile da trovare per modificare o revocare il consenso dopo la scelta iniziale
• Informativa sulla privacy in lingua vietnamita con chiara divulgazione di responsabili del trattamento, categorie di dati, conservazione e diritti dell'utente

Registro dei Consensi

I responsabili del trattamento devono mantenere registri del consenso — chi ha acconsentito, quando, a cosa, attraverso quale interfaccia. Le azioni di applicazione vietnamite hanno già citato log di consenso mancanti o non verificabili, e il PDPL formalizza questo obbligo. Un CMP che non produce log di consenso esportabili e con timestamp non è conforme.

Trasferimento Transfrontaliero di Dati — La Parte Più Difficile

Il regime di trasferimento transfrontaliero del Vietnam è uno dei più impegnativi della regione ed è l'elemento con cui la maggior parte degli editori stranieri fatica di più.

La Valutazione d'Impatto del Trasferimento

Prima di trasferire dati personali vietnamiti all'estero — il che include l'invio di identificatori derivati dai cookie a un'ad exchange estera o a un fornitore di analisi — il titolare deve preparare una Valutazione d'Impatto del Trasferimento. La valutazione deve documentare lo scopo, le categorie di dati, il paese e il destinatario, le misure di sicurezza tecniche e organizzative e la base giuridica del trasferimento.

Deposito presso l'MPS

La valutazione deve essere depositata presso il Ministero della Pubblica Sicurezza entro 60 giorni dall'inizio del trattamento. L'MPS ha il potere di sospendere i trasferimenti transfrontalieri se la valutazione è inadeguata o se la giurisdizione di destinazione è considerata insufficiente.

Implicazione Pratica per gli Editori

Un tipico stack pubblicitario programmatico instrada i dati degli utenti attraverso decine di fornitori esteri in millisecondi. Ognuno di quei flussi è, in senso stretto, un trasferimento transfrontaliero di dati personali vietnamiti. La realtà del 2026 è che la maggior parte degli editori stranieri sta presentando valutazioni consolidate per l'intero elenco di fornitori oppure sta ridimensionando il proprio set di fornitori per ridurre l'onere della valutazione. Nessuno dei due è banale, e l'MPS ha segnalato che inizierà un'applicazione più attiva sui flussi transfrontalieri durante il 2026.

Diritti degli Interessati

Il PDPL consolida e rafforza i diritti concessi dal Decreto. Gli interessati vietnamiti hanno il diritto di:

• Essere informati sul trattamento dei loro dati
• Accedere ai dati in corso di trattamento
• Correggere dati inesatti
• Cancellare i dati quando il trattamento non è più giustificato
• Limitare il trattamento in circostanze specificate
• Revocare il consenso con la stessa facilità con cui è stato dato
• Opporsi al processo decisionale automatizzato che produce effetti significativi
• Presentare reclamo al Ministero della Pubblica Sicurezza

Tempistiche di Risposta

I titolari devono rispondere alle richieste degli interessati entro 72 ore nella maggior parte dei casi — una finestra notevolmente più stretta rispetto al termine di 30 giorni del GDPR. La prontezza operativa per questa tempistica è una delle lacune di conformità più comuni per gli editori stranieri e richiede strumenti e procedure più veloci di quanto sia tipico in altre regioni.

Norme Speciali per i Minori

Il PDPL introduce protezioni dedicate per il trattamento dei dati personali dei minori. Il consenso per il trattamento dei dati di una persona con meno di 15 anni deve essere fornito da un genitore o tutore legale. Il trattamento dei dati per coloro di età compresa tra 15 e 18 anni richiede il consenso dello stesso minore, ma con maggiori obblighi di trasparenza e attenzione. Le interfacce di consenso ai cookie sui siti che attirano un pubblico significativo di utenti sotto i 18 anni necessitano di flussi consapevoli dell'età, che pochi editori stranieri hanno costruito per impostazione predefinita.

Sanzioni e Applicazione

Il PDPL aumenta significativamente il limite delle sanzioni amministrative. Le sanzioni includono:

• Sanzioni fino al 5 percento del fatturato annuo globale per gravi violazioni che coinvolgono dati personali sensibili o fallimenti sistematici
• Sospensione delle attività di trattamento
• Obbligatoria interruzione dei trasferimenti transfrontalieri
• Divulgazione pubblica della violazione
• Responsabilità penale per casi gravi, inclusa la vendita illegale di dati personali

Tendenza dell'Applicazione

L'MPS è stato relativamente silenzioso durante il 2023 e l'inizio del 2024 mentre il Decreto si consolidava, ma l'applicazione si è accelerata nel corso del 2025 e nell'ingresso al 2026. Gli editori stranieri sono stati citati in diverse azioni pubblicizzate, quasi sempre incentrate su uno di tre problemi: consenso mancante o inadeguato, valutazioni di trasferimento transfrontaliero non depositate, o mancata risposta alle richieste degli interessati entro la finestra di 72 ore.

Lista di Controllo Audit per il Traffico Vietnamita nel 2026

• Il banner CMP viene servito in vietnamita per gli utenti vietnamiti, con Accetta, Rifiuta e Personalizza a pari prominenza
• Gli scopi del consenso sono granulari e separano il trattamento sensibile come la localizzazione precisa
• I log di consenso sono con timestamp, esportabili e conservati per la durata del trattamento più un margine verificabile
• L'informativa sulla privacy è disponibile in vietnamita con piena divulgazione di responsabili del trattamento, conservazione e diritti
• La Valutazione d'Impatto del Trasferimento è depositata presso l'MPS per ogni flusso transfrontaliero in corso
• Il flusso di lavoro per le richieste degli interessati può rispondere entro 72 ore dall'inizio alla fine
• Il flusso di consenso consapevole dell'età è attivo per i pubblici che includono minori
• L'elenco dei fornitori è stato esaminato per necessità, con i fornitori non utilizzati o ridondanti rimossi per ridurre la superficie transfrontaliera

Le Prospettive per il 2026

La traiettoria normativa del Vietnam è chiara. Il PDPD ha stabilito il quadro. Il PDPL lo consolida. L'applicazione si sta espandendo. Per gli editori e gli inserzionisti che hanno trattato il Vietnam come un mercato a tocco leggero, il 2026 è l'anno in cui quell'approccio diventa costoso. La buona notizia è che un moderno stack di consenso di livello GDPR è la maggior parte di ciò che serve — le lacune sono tipicamente la finestra di risposta di 72 ore, i depositi della Valutazione d'Impatto del Trasferimento e la localizzazione in lingua vietnamita del CMP e dell'informativa sulla privacy. Queste lacune sono operative, non architetturali, e possono essere chiuse in settimane piuttosto che in trimestri. Gli editori che le chiudono prima che l'MPS arrivi alla loro porta non noteranno la transizione. Quelli che aspettano sì.