La Cina si appresta a varare la Personal Information Protection Law (PIPL), la prima legge organica e sistematica in materia di data protection. Lo scorso 13 ottobre è stata infatti sottoposta all’Assemblea nazionale del popolo una proposta di legge in materia di protezione delle informazioni personali che a partire dal 21 ottobre e fino al prossimo 19 novembre si trova – addirittura – in consultazione pubblica.
Il testo della proposta (immediatamente tradotto in inglese), così come il contesto e il momento in cui si registra tale accadimento, sono elementi che hanno stimolato fin da subito diverse ed eterogene riflessioni. Non sono infatti mancati i primi commenti all’articolato cinese, così come gli interessanti raffronti tra questa normativa e quella che indubbiamente l’ha ispirata, vale a dire il GDPR .
Il contesto
Il draft della PIPL rappresenta, come detto, il primo atto formale di un procedimento che si aspettava da tempo. Senza spingersi a considerare la possibile pressione in chiave competitiva data dal contesto regolamentare internazionale (basti solo pensare che anche l’India sta andando nella stessa direzione con il Personal Data Protection Bill), e presto anche gli USA, probabilmente, si convertiranno al modello legislativo comprensivo, la spinta ad una sistemazione organica della normativa data protection sembra poter trovare una spiegazione anche solo guardando all’interno dei confini nazionali dello stato asiatico. Difatti, la molteplicità stratificata di fonti in materia (c’è chi è arrivato addirittura a contarne più di 200, sebbene molto di tale normativa è rivolta all’ambito della sicurezza informatica piuttosto che alla circolazione dei dati personali) ha probabilmente reso necessario un simile intervento in chiave sistematica.
La PIPL cerca dunque di raccogliere e riorganizzare in una unica e armonizzata sede istituti e adempimenti sparsi nell’ordinamento, andando altresì a innovare e affinare l’impianto normativo con evidenti derivazioni dall’archetipo ormai universalmente riconosciuto del GDPR.
Il confronto con il GDPR
8 capi, 70 articoli, nessun considerando. Questa è l’architrave formale sui cui si regge, ad oggi, la sostanza della nuova legge cinese. È importante sottolineare il dato temporale poiché non sono da escludere possibili novazioni a seguito della consultazione. Tale provvisorietà del dettato normativo, seppur in stato avanzato, suggerisce di non spingersi troppo in là nella valutazione delle singole disposizioni. Potrà allora essere sufficiente segnalare qui qualche riferimento sulla base dei punti di vicinanza e lontananza con il GDPR. Rilevano, ad esempio, l’ambito di applicazione extra territoriale della legge (articolo 3), l’ampliamento delle basi giuridiche (articolo 13), le condizioni del consenso (articolo 14), gli obblighi informativi (articolo 18) o i diritti riconosciuti agli interessati (articoli 44 e seguenti). È stato poi inasprito il sistema sanzionatorio. Infine, sono da osservare con particolare attenzione, anche in attesa di eventuali precisazioni, le regole in tema di data localization e di trasferimenti di dati all’estero.
Interrogarsi sul significato della proposta di PIPL da un punto di vista giuridico-culturale credo sia la giusta chiave anche per sporgersi verso una sua più oggettiva valutazione. Difatti, è opportuno che al risultato derivante dall’operazione di comparazione con il prototipo GDPR si applichi quello che mi piace definire un “coefficiente culturale”. In Europa si fa presto a dire privacy e si fa presto a dire GDPR. La protezione dei dati personali è scolpita nella nostra identità storica, politica e giuridica. Tutti i diritti e le libertà fondamentali sono emersi e si sono affermati grazie alla tradizione costituzionale che nello scorso secolo ha accomunato i paesi europei. Basti pensare alla nostra Carta fondamentale, dove la convergenza di tutte le forze politiche sedute in assemblea costituente, dal Partito Popolare di De Gasperi di ispirazione cattolica al Partito Comunista di Amendola e Togliatti, e che – quella volta sì – rappresentavano i valori e le componenti della Nazione ha costituito il terreno fertile dal quale sono poi germogliati tutti i diritti fondamentali, compreso quello alla protezione dei dati personali.
La storia si è ripetuta con la Carta di Nizza, somma sintesi di diritti condivisi e partecipanti la tradizione di tutti i paesi firmatari. E fu proprio la Carta dei diritti fondamentali dell’Unione Europea a sancire ufficialmente, all’articolo 8, scritto grazie alla mente e alla penna di Stefano Rodotà, il diritto alla protezione dei dati di carattere personale. Per l’Occidente, e in particolare per l’Europa, i diritti e le libertà fondamentali vengono dunque da lontano, sono incisi nel nostro DNA giuridico e culturale. Il riconoscimento positivo in norme come la Direttiva madre del 1995, il Codice privacy italiano e, da ultimo, il GDPR non sono altro che la naturale declinazione gravitazione di tali forze precedenti e superiori. Un percorso che, occorre dirlo, abbiamo impiegato anche fin troppo tempo a realizzare. Guardare per conferma ai cugini americani, con radici comuni ma ancora lontani da una autentica considerazione del diritto alla protezione dei dati.
Il valore della nuova normativa cinese
Occorre riconoscere il significato che in questa particolare prospettiva assume la proposta di PIPL. Con questa legge la Cina sta compiendo un primo importante passo verso il riconoscimento di un diritto alla protezione dei dati personali per come lo intendiamo noi occidentali. Si tratta allora di un’iniziativa, normativa, ma prima ancora culturale, da valutare positivamente, anche al netto delle ragioni geopolitiche collegate alla sua realizzazione. E ancor più positivamente deve essere valutato l’accreditamento del nostro GDPR – e per nostro intendo anche italiano visto il ruolo guida ricoperto dal Codice privacy – quale modello di riferimento sempre più internazionale.
Il giudizio positivo sulla proposta di legge cinese resta chiaramente ancorato ad un dato di sano pragmatismo. Come detto, si tratta di un primo step e di certo la strada affinché, banalmente, la nuova normativa cinese possa portare ad una decisione di adeguatezza nei confronti del paese asiatico da parte della Commissione UE resta ancora lunga e complessa. Nondimeno, osservare tale “nuova veste” della Cina lascia un senso di grande fiducia per il futuro. E di questi tempi la fiducia è un bene che non va sprecato.
__
Bibliografia
– Gil Zhang, Kate Yin, A look at China’s draft of Personal Data Protection Law, IAPP .
– Clarice Yue, Tiantian Ke, John Shi, Sven-Michael Werner.
– China Data Protection Update: The First Draft of The Long-Awaited PRC Personal Information Protection Law released, Lexology.
– China Data Protection Update and Deep Dive (1): Data sharing and cross-border data transfer rules under the Draft Personal Information Protection Law, Lexology.
– Clarice Yue, Sharon Zhang, John Shi, Sven-Michael Werner, China Data Protection Update: Deep Dive (2): Data protection principles, legal basis of processing and consent requirements under the Draft Personal Information Protection Law, Lexology.
– Carolyn Bigg, Venus Cheung, Fangfang Song, China: New draft national, harmonised data protection law for Mainland China, Lexology.
– Lester Ross, Kenneth Zhou, Tingting Liu, China’s Draft Personal Information Protection Law, Lexology .
