trattamento dati

Standard Contractual Clauses: consigli pratici per il trasferimento di dati dalla Cina

Home Sicurezza digitale Privacy
Indirizzo copiato

Dal primo giugno 2023 entrerà in vigore l’obbligo per le aziende basate in Cina di seguire una procedura specifica per il trasferimento (esportazione) di dati personali all’estero. Tutto quello che c’è da sapere per evitare problemi

Pubblicato il 26 mag 2023
Marco Gervasi

Executive Director, Red Synergy Business Consulting

cina tech

Se la vostra azienda opera in Cina, dal primo giugno 2023 anche solo l’inoltro di una mail contenente dati personali nella firma potrebbe costituire una violazione della privacy. La Cina considera infatti i dati come una merce. La loro esportazione richiede l’adempimento di una procedura ben precisa, pena: sanzioni ed arresti. Le aziende devono agire il prima possibile per adeguarsi, preferibilmente entro la fine di giugno 2023, Quali sono i consigli pratici per trasferire legalmente dati dalla Cina? Ne parliamo insieme ad un caso pratico.

Nuova legge privacy cinese, che devono sapere le aziende italiane che lavorano con la Cina

Introduzione alla legge sulle Standard Contractual Clauses

Il primo giugno 2023 entrerà in vigore l’obbligo per le aziende basate in Cina di seguire una procedura specifica per il trasferimento (esportazione) di dati personali all’estero: “China Standard Contract of Personal Information”. L’ esportazione non si riferisce solo al movimento fisico o il trasferimento di dati personali dalla Cina, ma anche all’accesso ai dati personali archiviati in Cina da parte di aziende fuori dalla Cina. Un esempio è la condivisione con la casa madre di un file excel contenente i dati di anche un solo dipendente. Ovvero, il caso in cui l’ufficio marketing della capogruppo acceda, tramite il proprio crm, ai dati dei propri clienti in Cina.

Le aziende devono agire il prima possibile. Sono infatti previste multe fino a circa 6,5 milioni di euro o il 5% del reddito dell’anno precedente. Inoltre, i responsabili della protezione dei dati personali saranno soggetti, in alcuni casi anche personalmente, a sanzioni fino a circa 130 mila euro e all’inibizione dal ricoprire cariche dirigenziali per un determinato periodo.

Come riportato in un recente articolo comparso sull’Economist (China data security law rattles western business executives) vi sono attualmente già casi di dirigenti a rischio di arresto per aver trasferito dati personali “strategici” in violazione della legge. Lo stesso Economist menziona che ”quasi tutte le società globali in Cina operano in violazione della legge. Molte hanno chiesto una proroga per rispettare le regole. Per conformarsi pienamente, le aziende dovranno probabilmente trasformare le loro attività in Cina in isole di informazioni che hanno pochi contatti con le loro operazioni globali”. Come procedere quindi e quali le tempistiche e gli adempimenti?

Il quadro normativo per il trattamento dei dati in Cina

Il GDPR cinese è la: “China Personal Information Protection Law” anche conosciuta come “China PIPL”, in vigore dal primo novembre 2021. A questa si sono unite: la Cibersecurity Law emanata nel 2017 e la Data Security Law entrata in vigore il primo settembre del 2021. Tuttavia, c’è voluto più di un anno e mezzo di attesa affinché l’ultima procedura per trasferire legalmente i dati fosse definita. Infatti, solo il 24 febbraio 2023, la Cyberspace Administration of China (CAC), l’autorità cinese che regola l’uso di internet, ha pubblicato il contratto standard (Standard Contractual Clauses o SCC), nonché le modalità che le società basate in Cina devono utilizzare per l’esportazione di dati personali.

Chi sono i soggetti che trasferiscono i dati

I soggetti a cui si applicherà la legge sono tutte le aziende che raccolgono ed elaborano dati personali in Cina (anche se non basate in Cina) e che li esportano dalla Cina. Sono, ad esempio, dati personali i file che contengono le informazioni dei dipendenti di un’azienda incluse quelle mediche e finanziarie, oppure il database che contenga informazioni sui clienti come il loro indirizzo, i loro documenti identificativi, i dati di fatturazione e di pagamento. Prima del trasferimento, l’azienda dovrà richiedere al titolare dei diritti il suo consenso al trasferimento. Inoltre, il China PIPL stabilisce che l’esportazione dovrà avvenire solo laddove il titolare del trattamento “necessiti realmente di fornire le informazioni personali al di fuori del territorio della Repubblica Popolare Cinese per esigenze commerciali o di altra natura”.

Qual è la giusta procedura per trasferire i dati fuori dalla Cina

Sono previste tre differenti procedure per l’esportazione dei dati: una complessa che richiede una valutazione di sicurezza obbligatoria da parte del CAC, una che richiede una lunga e dettagliata certificazione della società che esporta i dati ed, infine, una semplificata che prevede solo la firma delle SCC tra le aziende che si scambiano i dati.

In questo articolo ci concentreremo sulla procedura semplificata, che a mio avviso, sarà quella principalmente utilizzata, date le dimensioni, dalle piccole e medie aziende italiane operanti in Cina.

La procedura semplificata prevede quattro passaggi:

  • l’ottenimento del consenso. L’azienda che tratta i dati dovrà ottenere il consenso separato da parte dell’interessato al trattamento ed al trasferimento dei suoi dati verso l’estero. Senza tale consenso, scattano le sanzioni menzionate sopra.
  • La firma di un contratto. Il secondo passaggio è quello della firma delle SCC tra l’azienda cinese e quella estera. Il modello delle SCC è fornito dalla legge cinese e le SCC saranno regolate dalla legge cinese. I suoi termini prevarranno su qualsiasi altro accordo raggiunto dalle parti in merito all’oggetto. Tuttavia, le parti potranno, in un’area dedicata del contratto, aggiungere ulteriori clausole che non siano in contraddizione con il testo previsto dalla legge, pena la nullità. Controversie tra la parte esportatrice e il destinatario all’estero dovranno essere risolti mediante negoziazione reciproca, ma in mancanza di ciò, da un tribunale cinese competente o mediante arbitrato.

Tra le principali disposizioni previste dalle SCC vi sono: obblighi molto dettagliati compresi i requisiti relativi al periodo minimo di conservazione dei dati, al controllo dell’accesso a questi, alla notifica agli interessati e all’autorità cinese in caso di data breach, ecc. Molti degli obblighi sono simili a quelli previsti dalle clausole contrattuali standard dell’UE, ma in alcuni casi sono più onerosi.

  • La valutazione di impatto. Il terzo passaggio è la preparazione di un piano di impatto (PIPIA), il cui valore è simile al DPIA nel GDPR. Il PIPIA deve contenere, tra l’altro, l’indicazione della necessità e della legittimità del trasferimento dei dati, i rischi per gli interessi personali dei titolari e le misure di sicurezza previste per il trasferimento.

Il PIPIA è essenzialmente un processo per eseguire una valutazione delle lacune di conformità e apportare miglioramenti o azioni correttive in tutta l’organizzazione. Tra le altre cose, il rapporto finale PIPIA dovrebbe dimostrare a sufficienza che l’ambito dell’esportazione di informazioni personali soddisfa il principio “minimo e necessario” e che sono state adottate misure di sicurezza sufficienti per ridurre al minimo i rischi per la sicurezza e l’impatto sulle persone. Nella nostra esperienza, potrebbero essere necessari sino a tre mesi per finalizzare una relazione PIPIA di questo tipo, a seconda della complessità del flusso di dati.

  • Il deposito. L’ultimo passaggio è il deposito della documentazione presso le autorità. In particolare, i titolari devono depositare presso il dipartimento provinciale del CAC entro 10 giorni lavorativi dall’entrata in vigore del contratto standard: a) le SCC, b) la valutazione di impatto relativa all’esportazione dei dati. In caso di modifiche successive al trasferimento, è necessario presentare nuovamente le SCC e la valutazione modificata. Sebbene le misure lo stabiliscano come un processo di “archiviazione”, non è chiaro se il CAC condurrà una revisione sostanziale sui materiali di archiviazione con controllo e richiederà una rettifica nel caso in cui l’esportazione sia ritenuta inappropriata.

I rischi del non firmare le SCC

Nonostante una piccola media azienda abbia volumi di trasferimento dei dati modesti e quindi decisamente meno in vista rispetto alle grandi tech, la mancata ottemperanza della legge espone comunque al rischio di venire denunciati alle autorità.

I rischi economici ed operativi

Vi sono infatti le sanzioni economiche, applicabili sia quando non si è ottenuto il consenso, che quando non sia stata eseguita correttamente la procedura. Dopodiché, il rischio ulteriore sarà l’interferenza con le attività dell’azienda in Cina che potrà manifestarsi in diversi modi. In primis, il mancato ottenimento del consenso da parte di dipendenti e di clienti permetterà a questi di poter impugnare il trasferimento e di bloccare le attività di trasferimento dei dati. Inoltre, i dipendenti potranno ricorrere in giudizio richiedendo un cospicuo rimborso per la violazione. Infine, anche qualora il consenso sia stato ottenuto, la mancata firma delle SCC costituirà un’esportazione illegale dei dati con contestuali conseguenze.

I rischi di fare da sé

Vi sono poi i rischi legati alla preparazione della documentazione. In particolare, la redazione della valutazione di impatto, il documento più complesso, richiede sino a due mesi di tempo. Questa andrà preparata in cinese così come tutta la documentazione da allegare. Sebbene il deposito non preveda l’ottenimento di un’autorizzazione, la autorità potrebbero contattare l’azienda (su segnalazione fatta dai soggetti i cui dati sono stati trattati) per chiedere maggiori chiarificazioni sulla valutazione e sull’operatività. Qualsiasi dubbio sulla correttezza o liceità del trasferimento dei dati potrebbe spingere le autorità ad interrompere il trasferimento sino ad isolare la società. Inoltre, la legge richiede che nella valutazione siano indicati: a) tutti gli ulteriori trasferimenti dei dati una volta che questi sono stati esportati (i trattamenti secondari), b) il periodo di conservazione ed il luogo di archiviazione. Sarà quindi importante che nella valutazione vengano descritti con la massima cura, e nei limiti del possibile, i passaggi che avverranno anche fuori dalla Cina.

Un’assistenza transfrontaliera e continuativa

La legge prevede che il PIPIA possa essere preparato dall’azienda stessa con l’assistenza di fornitori di servizi esterni. Per evitare i rischi di cui sopra, è molto importante che l’azienda si affidi a professionisti che non abbiano solo conoscenza della normativa cinese e della documentazione, ma capaci di inserirla nel contesto internazionale dell’azienda. Le SCC andranno infatti armonizzate con quelle già firmate dall’azienda in altre giurisdizioni. Inoltre, la valutazione di impatto dovrà contenere l’indicazione dettagliata del flusso di trasmissione dei dati anche all’interno del territorio europeo e/o non Cina. Infine, sarà necessaria un’assistenza continuativa poiché sono previste ulteriori integrazioni della legge e qualsiasi modifica alla gestione dei dati comporterà l’aggiornamento della valutazione, la firma di nuove SCC ed un nuovo deposito.

Un caso pratico di China Data Transfer

Facciamo ora un esempio pratico di trasferimento di dati dalla Cina all’Italia. Un’azienda italiana che opera nell’arredamento ha una filiale commerciale in Cina con circa 10 dipendenti. Con regolarità il responsabile delle risorse umane aggiorna un file che viene inviato alla capogruppo includendo informazioni personali dei dipendenti, tra cui numero di identità, indirizzo, stipendio, cartella medica, dati bancari etc. I dipendenti lavorano per la società da diversi anni e al momento dell’assunzione la legge sulla privacy non era ancora entrata in vigore. I contratti di lavoro nonché quelli con i clienti non contengono alcuna disposizione in merito. La società è in espansione e prevede altre assunzioni. La società ha inoltre implementato un crm dove vengono caricati tutti gli ordini dei clienti inclusi i datipersonali, i tra cui i documenti, indirizzi per la consegna e dati bancari. Il crm è accessibile sia dall’Italia che da un’altra filiale commerciale e dall’operatore logistico entrambi ad Hong Kong. A seguito dell’entrata in vigore della legge la società ha necessità di regolarizzare la propria situazione, come procedere?

La prima cosa da fare è ottenere il consenso separato dei clienti e dei dipendenti per: a) il trattamento dei dati, b) il trasferimento dei dati all’estero ed eventualmente c) il trasferimento dei dati ad un soggetto terzo all’azienda (ad esempio l’operatore logistico). Dopodiché, la società cinese preparerà e firmerà una SCC bilingue con la società italiana, la filiale a Hong Kong che ha acceso al database ed infine l’operatore logistico. L’azienda cinese preparerà poi una valutazione di impatto ed infine depositerà copia di tutti i documenti alla CAC locale. In alcune province della Cina il deposito potrà avvenire in formato elettronico. Attualmente non è previsto il rilascio di alcuna documentazione. I documenti andranno salvati per eventuali successive modifiche e tenuti a disposizione qualora i titolari dei diritti ne faranno richiesta.

Conclusioni

Le misure entreranno in vigore dal primo giugno 2023, per i nuovi trasferimenti. I trasferimenti avvenuti prima di tale data avranno un periodo di grazia di sei mesi prima di essere adeguatamente documentati e resi conformi. Data la portata di questi obblighi le aziende dovranno entro il mese di giugno intraprendere azioni per valutare immediatamente i loro trasferimenti transfrontalieri di dati dalla Cina e, se necessario: 1) richiedere il consenso ai dipendenti e clienti, 2) completare il PIPIA, 3) firmare le SCC con i destinatari esteri e 4) depositare la documentazione richiesta presso il CAC entro il periodo richiesto.

Per ulteriori informazioni sulla documentazione e sulle procedure

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

AI e machine learning nel cloud, come potenziano analisi e automazione