Il recente caso del blocco di DeepSeek da parte del Garante privacy italiano [1] offre l’occasione per una riflessione approfondita sul rapporto tra il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo e la Personal Information Protection Law (PIPL) cinese. Al di là delle specifiche questioni di compliance che hanno portato al blocco del servizio di intelligenza artificiale cinese, è interessante analizzare la comparazione effettuata dal Garante tra i due sistemi normativi, partendo dal presupposto della conservazione dei dati personali dei cittadini UE in Cina e della loro conseguente esposizione ad un regime potenzialmente meno garantista di quello europeo[2].
La questione assume particolare rilevanza non solo per il caso specifico di DeepSeek, ma per le più ampie implicazioni che potrebbe avere sulle relazioni digitali tra Europa e Cina.
Indice degli argomenti
Gdpr e Pipl a confronto: perché è un tema cruciale
Il tema, definito “cruciale” dal Garante dati stesso, merita di essere monitorato. Infatti, si preannuncia un’attività istruttoria più approfondita, in cui il si valuterà l’impatto di DeepSeek sui dati personali dei cittadini italiani[3]. L’importanza pratica di tale istruttoria nei confronti di DeepSeek è, tutto sommato, ridotta. Il Garante stesso ha preannunciato che, data l’indifferenza del sistema di IA cinese ad interloquire con il Garante italiano, difficilmente il provvedimento verrà modificato. La questione potrebbe tuttavia investire altri servizi cinesi utilizzati in Italia, quali ad esempio WeChat, Tiktok e Alibaba, comportando ripercussioni notevoli sugli scambi tra i due Paesi (si pensi agli operatori economici italiani attivi in Cina o agli scambi accademici) ovvero altri sistemi di IA cinesi (si pensi ad esempio a eventuali sistemi di IA inclusi in veicoli a guida autonoma o assistita) [4].
Scopri come l'AI Act trasforma la responsabilità nell'innovazione. Leggi il nostro whitepaper!
Caratteristiche essenziali della Pipl
Sintetizzando, il Garante riporta alcune caratteristiche essenziali della PIPL, evidenziandone i deficit di tutela rispetto al GDPR:
- Pur prevedendo regole sul consenso dell’interessato, in Cina le aziende devono “collaborare con le autorità statali”.
- L’autorità di controllo non è indipendente, come in Italia, anzi il “trattamento è fortemente regolato dallo Stato cinese, che ha poteri di accesso e di controllo su tutte le informazioni gestite dalle aziende”.
In Cina, la disciplina a tutela dei dati personali è contenuta in quattro leggi principali. In ordine cronologico, questi sono la legge sulla sicurezza della rete (网络安全法 o cybersecurity law – CSL) del 2016, il Codice civile, la PIPL e la legge sulla sicurezza dei dati, promulgate tutte nel corso del 2021 (数据安全法 o data security law – DSL).
Dualismo normativo e protezione dei dati
Nel loro insieme, queste leggi creano un doppio binario sulla tutela dei dati, caratterizzato cioè sulla coesistenza di diverse esigenze di tutela, di natura privata e pubblica.
In particolare, il Codice civile e la PIPL prendono in considerazione i dati personali nella prospettiva di tutelare un interesse individuale, secondo uno schema non dissimile da quello noto al giurista europeo. La CSL e la DSL invece tutelano i dati personali in quanto risorsa nazionale di importanza strategica ed economica[5]. A queste va aggiunta la legge nazionale sulle attività di intelligence del 2017 (in seguito anche national intelligence law – NIL)[6], che disciplina l’accesso ai dati conservati in server in Cina da parte delle agenzie di sicurezza del Paese.
Definizione del diritto alla privacy
Il Codice civile cinese, all’art. 1032, contiene una definizione del diritto alla privacy, ed in generale lo contestualizza in un più ampio schema di diritti della personalità. Diversa dalla privacy è la tutela dei dati personali, disciplinata al successivo art. 1034, che si limita a stabilire che i dati personali sono tutelati dalla legge, senza attribuire un corrispondente diritto individuale[7].
Allo stesso tempo, l’art. 1033 contiene un elenco di divieti che parifica condotte lesive della privacy, come ad esempio “spiare all’interno della residenza o della stanza di albergo di un’altra persona”, ed il trattamento non autorizzato di dati personali. Sempre dal Codice civile, si evince che affinché un trattamento di dati personali sia lecito, esso deve soddisfare alcune condizioni: vi sia il consenso della persona fisica, salvi i casi in cui il consenso è autorizzato per effetto di leggi o regolamenti; i termini del trattamento sono pubblici[8]; la finalità, il metodo e la portata del trattamento sono chiaramente descritti e non sono contrari alla legge.
Differenze tra privacy e protezione dei dati
Tralasciando il dibattito che queste previsioni hanno sollevato in Cina, ma anche presso alcuni osservatori occidentali, ci si può limitare ad osservare due aspetti. Il primo è che la tutela dei dati personali non è riservata, come avviene in alcuni ordinamenti, ai soli cittadini cinesi, bensì a tutte le persone fisiche[9].
D’altra parte, sebbene la tutela dei dati personali abbia un rango più basso rispetto alla privacy, che le disposizioni generali del codice offrono una tutela ampia dei dati personali, almeno nei rapporti tra privati.
Questo assetto è confermato e chiarito nella PIPL, che ha un contenuto grossomodo sovrapponibile con il GDPR e che nell’ordinamento cinese ha la funzione di specificare norme più generali, contenute nel Codice civile e nella CSL. Questa innanzitutto chiarisce che titolare del trattamento può essere sia un privato, sia un ente pubblico.
Gli artt. 33 e 35 della PIPL stabiliscono che il consenso è la principale base giuridica del trattamento[10], anche quando il titolare è lo Stato. Sono però previste delle eccezioni, quando la richiesta del consenso possa compromettere il trattamento da parte dell’organo statale (art. 35 e rinvio all’art. 18). Sebbene la norma mantenga un tono vago, si può ricostruire che gli organi statali possono trattare i dati personali senza richiedere il consenso e senza includere il nome e le informazioni riguardanti il titolare del trattamento, quando ciò sia necessario per “mantenere la segretezza” o quando la pubblicazione dell’informativa possa pregiudicare l’adempimento delle funzioni dell’organo pubblico.
Implicazioni delle leggi sulla sicurezza
Queste previsioni possono essere meglio comprese, guardando alla normativa in tema di sicurezza pubblica, ed in particolare alla legge sulla sicurezza della rete ed alla legge nazionale sulle attività di intelligence. Quest’ultima, in particolare, all’art. 17, dispone che le agenzie nazionali di intelligence possono accedere a informazioni e file. Le entità e i cittadini cinesi, ai sensi dell’art. 7 della stessa legge, hanno un corrispondente obbligo di consegnare le informazioni di cui sono in possesso su richiesta delle autorità. La norma non menziona espressamente i dati personali, riferendosi più in generale a files e informazioni, ma è indubbio che le agenzie di intelligence cinesi possano accedere anche a dati personali. Infatti, sia l’art. 19, sia l’art. 31 prevedono sanzioni per gli agenti di tali agenzie che divulghino dati personali di cui sono entrati in possesso per motivi professionali.
Anche la legge sulla sicurezza della rete contiene previsioni che specificano le modalità di accesso degli organi statali ai dati personali dei cittadini, confermando la lettura che si è data. L’articolo 28 della CSL, infatti, stabilisce che gli operatori di rete devono fornire un supporto tecnico e assistenza alla polizia ed agli organi di sicurezza nazionale, quando stiano investigando attività criminali o operando a tutela della sicurezza nazionale. Fin qui, sembra che le attività di trattamento dei dati dello stato cinese possano fuoriuscire dallo schema incentrato sul consenso solo quando siano in gioco interessi legati alla sicurezza nazionale, ovvero investigazioni. Così si può immaginare uno schema bipartito in cui lo Stato cinese, quando svolge attività di ordinaria amministrazione, come ad esempio il rilascio di una patente o di un visto turistico (per immaginare una situazione che potrebbe coinvolgere un cittadino italiano), tratta i dati secondo le previsioni della PIPL. Quando, invece, svolge trattamenti molto più intrusivi nella vita privata dei cittadini, può operare secondo le modalità opache sommariamente descritte nelle leggi a tutela della sicurezza nazionale[11].
Il quadro normativo è peculiare, anche se forse non lontano dalla realtà di fatto propria anche di altri Paesi[12]. Esso indubbiamente giustifica l’introduzione di divieti di scaricare le app cinesi nei confronti dei dipendenti statali che utilizzano hardware di proprietà pubblica[13], in particolare qualora l’accesso ai loro dati ed informazioni possa in qualche modo pregiudicare la sicurezza nazionale, come giù avvenuto in altri paesi occidentali. Tuttavia, ci si deve chiedere se, oltre alle attività di intelligence, che difficilmente potrebbero coinvolgere il cittadino italiano medio, lo Stato cinese abbia altre modalità di accesso ai dati personali eventualmente conservati in server in Cina. Il Garante Dati italiano, nel suo comunicato stampa, ha infatti osservato che “il trattamento è fortemente regolato dallo Stato cinese, che ha poteri di accesso e di controllo su tutte le informazioni gestite dalle aziende”. Ma, effettivamente, quali organi pubblici cinesi possono accedere ai dati degli utenti italiani cinesi?
Diritti degli interessati e misure di controllo
Bisogna premettere che, al netto delle norme che prevedono l’accesso ai dati conservati su server cinesi da parte di entità collegate all’intelligence del paese, la valutazione del Garante italiano secondo cui la PIPL offre un grado di tutela inferiore al GDPR, non è inopinabile. Gli articoli 44 e ss. della PIPL prevedono una serie di diritti a favore del soggetto interessato dal trattamento, che ricalcano quelli previsti dal GDPR, con una serie di interessanti aggiunte. Tali diritti includono diritti di recesso (art. 15), accesso (art. 45 c.1), copia (art. 45, c.2), correzione (art. 46), integrazione (art. 46, c. 2), cancellazione (art. 47). Il principio di privacy by design non è previsto in termini generali, ma attraverso previsioni specifiche, che vietano, ad esempio, l’utilizzo di moduli per il consenso precompilati e che richiedono invece che i termini di utilizzo siano leggibili e che includano informazioni sulle modalità di esercizio dei diritti (art. 17).
Regole particolarmente severe sono espressamente previste per il trattamento dei dati dei minori di 14 anni e per il trattamento di dati sensibili.
Gli articoli 24 e 25, inoltre, prevedono espressamente un diritto alla spiegazione, che il GDPR non include, disponendo anche che, laddove venga utilizzato un sistema di raccomandazione algoritmico nei siti di e-commerce, questo non può adottare criteri discriminatori sulla base dei dati raccolti, deve poter essere “disattivato”, attraverso un’opzione facilmente individuabile. È vero che anche il Digital Services Act dell’UE introduce un simile diritto, ma si deve pure aggiungere che un recente regolamento della Cyberspace Administration of China, l’Internet Information Service Algorithmic Recomender Management Regulation (IISARM)[14], oltre a estendere questa previsione non più solo ai siti di e-commerce, ma a tutti i sistemi di raccomandazione, prevede un obbligo in capo ai fornitori di tali servizi di fornire ai propri utenti delle opzioni di personalizzazione dell’algoritmo (IISARM, art. 17). Questo dovrebbe insomma consentire agli utenti di modificare il profilo creato dalla piattaforma online con l’analisi dei dati personali, inserendo manualmente delle preferenze.
Il ruolo della Cyberspace Administration of China
Anche il ruolo della Cyberspace Administration of China non è del tutto chiaro. Alcuni autori hanno notato che, oltre ad essere priva di fondamentali competenze di controllo sui big data ecosystems di cui si dirà a breve, essa non è neppure designata quale autorità garante per i dati personali[15].
Il problema di fondo, nell’ordinamento cinese, non è il regime ordinario della PIPL, che si può ritenere, almeno sotto alcuni aspetti, paragonabile al GDPR[16], ma l’esistenza di ulteriori regimi straordinari rispetto a quelli già descritti.
Il bilanciamento tra sicurezza nazionale e l’interesse pubblico in Cina
A differenza della PIPL, che è comparabile con i regimi di protezione dei dati personali vigenti altrove, la legge sulla sicurezza dei dati, approvata nel giugno 2021, crea una nuova forma di regime dei dati peculiarmente cinese. La DSL non riguarda solo i dati personali, ma tutti i dati, esclusi i segreti di Stato (articolo 53) e i dati militari (articolo 54). Mentre la PIPL si occupa principalmente del rapporto tra l’interessato e il responsabile del trattamento, il DSL si concentra sul bilanciamento tra sicurezza nazionale e l’interesse pubblico allo sviluppo di un’economia dei dati. Per questo motivo, l’organo responsabile della sua implementazione è la Commissione per la Sicurezza Nazionale del Comitato centrale del partito comunista cinese, mentre Ministero di Pubblica Sicurezza e Cyberspace Administration of China svolgono un ruolo di supporto (articolo 5).
Come chiarito dall’art. 14 della legge in questione, lo Stato cinese si fa carico di una strategia di big data, avente lo scopo di digitalizzare i servizi pubblici (art. 15), promuovere la crescita di servizi di sviluppo sulla sicurezza dei dati e certificazione (art. 16), attraverso la creazione di vere e proprie borse di dati. Questo ha lo scopo di creare dei big data ecosystems in cui gli istituti di ricerca coopereranno con gli istituti governativi, militari e industriali[17]. L’ecosistema dei big data non è quindi un semplice meccanismo dirigista, ma un sistema di governance in cui le autorità territoriali si relazionano tra loro attraverso la competizione, a livello orizzontale, e la reciproca influenza, a livello verticale, secondo modalità non del tutto trasparenti. È vero anche che la DSL, all’art. 38 impone agli organi pubblici coinvolti in tali meccanismi di scambio di dati di limitarsi a trattare dati personali “nell’ambito della loro missione”.
Note
[1] Vedi M. Borgobello, DeepSeek, privacy zero: comincia in Italia lo scontro di diritti, https://www.agendadigitale.eu/sicurezza/privacy/deepseek-privacy-zero-in-italia-e-scontro-di-diritti/
[2] Quest’ultimo acronimo indica la Personal Information Protection Law del 2021 (个人信息保护法).
[3] Si veda il comunicato stampa del Garante Privacy a commento del blocco di DeepSeek https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10098369
[4] Il Garante arriva a parlare di “monito per le società cinesi che vogliono operare nel settore”, isolando così la Cina da altri sistemi giuridici.
[5] Ad esempio, l’art. 1 della CSL chiarisce che tra gli obiettivi primari della legge vi è la tutela della sovranità nazionale in rete, cfr. R. Creemers, China’s Emerging Data Protection Framework, in Journal of Cybersecurity, 2022.
[6] 中华人民共和国国家情报法.
[7] Cfr. H. von Senger, Vom Code Napoleons zum Zivilgesetzbuchs Xi Jinpings in, ZChR, 2020, 144, il quale insiste sul fatto che il Libro IV del Codice ha natura essenzialmente dichiarativa, poiché non aggiunge rimedi pratici a quelli previsti negli altri libri, e in particolare nel Libro VII sulla tutela degli illeciti.
[8] A riguardo, l’art. 17 della PIPL aggiunge che le informazioni sul trattamento devono essere fornite all’utente in un modo che “attiri lo sguardo”.
[9] Si veda su tutti il lavoro di E. Pernot-Leplay, China’s Approach on Data Privacy LAw: A third Way Between the U.S. and the E.U.? in Penn State Journal of Law & International Affairs, 2020, 54.
[10] Altre basi giuridiche sono previste all’art. 13, che ricalcano la disciplina delle basi giuridiche del trattamento del GDPR.
[11] R. Creemers, China’s Emerging Data Protection Framework, in Journal of Cybersecurity, 2022, 13.
[12] Con i dovuti distinguo, si può riportare che anche in Italia, su ordine di un giudice, le forze di polizia possono accedere a dati ed informazioni riferibili ai cittadini. Si pensi alle prestazioni obbligatorie di cui all’art. 96 del Codice delle comunicazioni elettroniche. Per quanto riguarda l’accesso ai dati per situazioni di sicurezza nazionale, si veda anche quanto avvenuto negli Stati Uniti, https://www.bbc.com/news/world-22916329.
[13] Si veda l’esempio Australiano: https://www.theguardian.com/technology/2023/apr/04/what-does-tiktoks-ban-on-australian-government-devices-mean-for-its-future.
[14] 互联网信息服务算法推荐管理规定.
[15] Si veda ancora R. Creemers, China’s Emerging Data Protection Framework, in Journal of Cybersecurity, 2022, p. 7, che riporta anche i guai giudiziari che hanno afflitto il primo direttore della CAC.
[16] Vedi in questo senso D. Clementi, La legge cinese sulla protezione delle informazioni personali: un GDPR con caratteristiche cinesi? in Rivista di diritti comparati, 2022, 201.
[17] Si vedano T. Shtub, M. Gal, The Competitive Effects of China’s Data Regime, in Jour. of Comp. Law and Econ., 2022, 960.
Norma ISO 31700 e privacy by design: cosa devono sapere aziende e consulenti