Home » Risorse » Interviste e Contributi » Cina: in vigore la nuova normativa privacy
Interviste e Contributi Risorse

Cina: in vigore la nuova normativa privacy

cina

Facendo seguito all’adozione della Cybersecurity Law del 2017 e della Data Security Law del settembre 2012, il primo novembre è entrata in vigore la nuova normativa cinese in materia di protezione dei dati personali (Personal Information Protection Law of the People’s Republic of China c.d. PIPL), adottata lo scorso agosto.

La norma presenta numerose similitudini con il GDPR, il Regolamento UE per la protezione dei dati personali, a partire dalla definizione di “dato personale”, che anche il legislatore cinese identifica quale qualsivoglia informazione relativa a persone fisiche identificate o identificabili, registrata elettronicamente o in altro modo, ad esclusione delle informazioni che sono state rese anonime. Inoltre, il trattamento deve essere svolto nel rispetto dei principi di liceità, di legittimità, di necessità, di buona fede, di trasparenza, e al fine di perseguire una specifica finalità di trattamento.

Analogamente al GDPR, la PIPL stabilisce altresì l’ambito extra territoriale di applicazione, aspetto di primario impatto per le imprese straniere. La nuova disciplina, infatti, si applica non solo alle attività di trattamento svolte su territorio nazionale, siano esse poste in essere da operatori nazionali o stranieri, ma anche ai trattamenti di dati relativi a persone fisiche situate all’interno del territorio cinese svolte al di fuori del territorio nazionale, qualora:

  • la finalità del trattamento sia la fornitura di prodotti/servizi a persone fisiche situate in Cina; o
  • il trattamento sia volto ad analizzare e valutare il comportamento di persone fisiche in Cina; o
  • negli altri casi stabiliti da leggi o regolamenti amministrativi cinesi. La PIPL riconosce infatti ampio margine discrezionale alle autorità cinesi, sia relativamente agli ambiti di applicabilità, che con riferimento ad ulteriori aspetti, quali quelli sanzionatori.

In caso di trattamenti svolti al di fuori del territorio nazionale, viene previsto l’obbligo di stabilire un ufficio dedicato o di nominare un rappresentante designato in Cina.

Anche la normativa cinese identifica i ruoli di titolare, responsabile e contitolare. In particolare, viene individuato un responsabile delle operazioni di trattamento (figura analoga a quella del Titolare di cui al GDPR), cui spetta, tra gli altri obblighi, l’adozione di adeguate misure di sicurezza a tutela dei dati trattati nonché l’obbligo di rilasciare adeguata e preventiva informativa agli interessati.

Il trattamento è legittimo solo in determinate condizioni:

  • previo consenso libero, specifico e revocabile dell’interessato. In particolare, il preventivo e specifico consenso è necessario per il trattamento di dati “sensibili”, intendendo per tali quelle informazioni personali che, se divulgate o utilizzate illegalmente, potrebbero facilmente causare un danno alla dignità delle persone o un grave danno alla sicurezza nazionale o alla proprietà, e le informazioni personali relative ai minori di 14 anni. Il consenso è altresì obbligatorio per il trasferimento dei dati a terzi, per la pubblicazione dei dati e per i trasferimenti transfrontalieri;
  • qualora il trattamento sia necessario per la conclusione o l’esecuzione di un contratto;
  • in risposta ad un’emergenza sanitaria pubblica o, in caso di emergenza, per proteggere la vita, la salute o la proprietà di una persona fisica;
  • per esigenze di cronaca, motivi di natura pubblica o per perseguire uno scopo di interesse pubblico;
  • per ottemperare ad un obbligo di legge.

Anche la PIPL disciplina il trasferimento dei dati al di fuori del territorio cinese, prevedendo determinate condizioni di legittimità:

  • rilascio apposito consenso dell’interessato. Tale condizione sembrerebbe essere sempre necessaria, in aggiunta alle successive, ed è verosimilmente destinata a sollevare criticità pratiche non indifferenti per le imprese multinazionali;
  • superamento di una valutazione di sicurezza da parte delle Cyberspace Administration of China (CAC);
  • ottenimento di una certificazione che attesti la conformità con le applicabili disposizioni CAC;
  • adozione delle clausole contrattuali standard elaborate dal CAC;
  • eventuali altre condizioni previste dalla legge e dai regolamenti amministrativi del CAC. Sul punto, la normativa riconosce ampio margine di discrezionalità alle autorità nazionali per regolamentare, autorizzare o limitare il trasferimento di dati extra PRC.

Prima di qualsiasi trasferimento, viene inoltre richiesto il preventivo svolgimento di una specifica valutazione di impatto. Tale obbligo è previsto anche in altre ipotesi, come in caso di trattamento di dati sensibili o di esecuzione di un processo decisionale automatizzato.

Tra i diritti riconosciuti agli interessati, la PIPL prevede la possibilità per l’interessato di richiedere la cancellazione, la limitazione o la modifica dei propri dati, nonché il diritto di opporsi al trattamento e di revocare eventuali consensi al trattamento. Sul punto, si evidenzia come il dettato normativo risulti adottare una terminologia meno dettagliata rispetto alla normativa comunitaria, tuttavia viene introdotto il diritto degli interessati di azionarsi contro i titolari del trattamento che rifiutano le richieste di esercizio dei propri diritti.

A differenza del GDPR, non sono previste tempistiche per la notifica alle autorità di eventuali data breach, pur prevendendo tale obbligo anche in caso di violazioni tentate.

Sono altresì previsti obblighi formativi in materia di trattamento dei dati personali.

A livello sanzionatorio, le competenti autorità cinesi possono ordinare di intraprendere azioni correttive, emettere avvisi, confiscare entrate illegali, sospendere i servizi o comminare multe, multe che possono arrivare fino al 5% del fatturato annuo (ma non è chiaro se a livello nazionale o globale). Sono altresì previste responsabilità civili e penali e specifiche sanzioni personali per i responsabili privacy e per i dirigenti, che possono arrivare fino alla sospensione delle cariche dirigenziali.

Le similitudini con il GDPR rendono meno difficoltosa la compliance con i nuovi obblighi normativi per le aziende italiane e comunitarie: analogamente a quanto già vissuto in U.E. prima del maggio 2018, un adeguato piano di compliance ai nuovi obblighi normativi non potrà quindi prescindere da determinate attività, quali:

  • un’adeguata mappatura dei trattamenti;
  • la conseguente revisione e/o implementazione di opportune policy privacy, in particolare con riferimento alla gestione dei consensi, al trasferimento extra PRC dei dati, alla gestione dei data breach e delle richieste degli interessati;
  • l’individuazione delle criticità e l’adozione di opportuni piani di intervento, tenuto conto anche delle ulteriori specifiche operative che le autorità amministrative verosimilmente rilasceranno nei prossimi mesi.

L’adozione di un impianto normativo tendenzialmente analogo alla normativa comunitaria in materia di dati personali, fa inoltre sorgere il fondato dubbio che uno dei possibili obiettivi del governo cinese sia quello di ottenere una decisione di adeguatezza da parte della Commissione UE.

Avv. Giulia Rizza

Consultant e PM Colin & Partners

 

Articolo fornito da COLIN – Consulente Legale Informatico

Commenta

Clicca qui per inserire un commento


Iscriviti

per ricevere aggiornamenti sui trend e le opportunità IOT per il tuo business

Podcast & Smartspeaker

IOTtoday su Spotify IOTtoday su Google Podcast IOTtoday su Apple Podcast IOTtoday su Amazon Alexa IOTtoday su Google Home