Una volta entrato in vigore, sarà la prima fonte normativa della Cina a disciplinare la protezione dei dati personali: parliamo del disegno di legge presentato dall’Assemblea Popolare Nazionale (ANP) cinese, ancora in discussione.
Il proposito della legge è proteggere i dati personali delle singole persone fisiche e i diritti correlati, disciplinandone il trattamento e il razionale utilizzo, garantendo l’ordinato e libero flusso dei dati personali in conformità della legge.
Obiettivi ambiziosi, certo, considerato anche il contesto storico culturale in cui la nuova normativa troverebbe applicazione.
Principi, ambito applicativo e definizioni del disegno di legge
Mutuando alcuni dei principi del GDPR, i dati personali – per tali intendendo le informazioni personali correlate a una persona fisica identificata o identificabile – dovranno essere trattati in modo legale e legittimo, in linea con il principio della buona fede, per un chiaro e ragionevole scopo e per un tempo determinato.
La disciplina si applicherà alle attività di trattamento dei dati personali delle persone fisiche condotte da organizzazioni e individui – in questo senso intendendo tutti coloro che si trovano a compiere trattamenti nell’esercizio della propria attività d’impresa.
Infatti, similmente a quanto previsto dal GDPR, le nuove regole non troveranno applicazione per il trattamento di dati personali effettuato nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.
La previsione ha una portata extra-territoriale: intende riferirsi non solo alle attività svolte all’interno del territorio della Repubblica Popolare Cinese ma anche al di fuori qualora il trattamento dei dati personali sia finalizzato alla fornitura di prodotti o servizi ovvero sia rivolto all’analisi e alla valutazione dei comportamenti di persone fisiche all’interno del territorio della Repubblica Popolare Cinese. La previsione in realtà lascia poi spazio a tutte le altre ipotesi previste da leggi e da regolamenti amministrativi.
Appare evidente come la struttura del disegno di legge in commento sia decisamente più esile rispetto a quella del GDPR. Si afferma ciò non solo per la differenza numerica degli articoli che compongono la fonte – 70 in luogo dei 99 del Regolamento Europeo – ma per il diverso peso contenutistico delle norme.
Certamente è troppo presto per ragionare in una logica di diritto comparato, tuttavia, si prendano unicamente ad esempio le definizioni. Al di là di qualche precisazione contenuta all’interno del testo, come quella di dato personale, gli unici concetti definiti si trovano all’interno di un articolo, il penultimo, che chiarisce unicamente il significato da attribuire al titolare del trattamento, alla decisione automatizzata, alla de-identificazione e all’anonimizzazione. Elenco, questo, un po’ scarno per riuscire a orientarsi nelle pieghe della data protection.
Tuttavia, appaiono interessanti quelle norme che, a chiusura del primo capitolo, impongono allo Stato l’istituzione e il miglioramento di un sistema di protezione dei dati personali che prevenga e punisca qualsiasi atto di violazione dei diritti e degli interessi dei dati personali, rafforzando l’educazione sulla protezione dei dati personali.
I soggetti coinvolti nel trattamento dei dati.
La dizione non è certo analoga ma il disegno di legge sembra prevedere le stesse figure del GDPR: titolare del trattamento, contitolari, responsabili e anche sub responsabili, facendo con ciò specifico riferimento a quella previsione a mente della quale senza il consenso del titolare del trattamento dei dati personali, il responsabile non può ulteriormente affidare ad altri soggetti le attività di trattamento.
Mancano del tutto previsioni che statuiscano il contenuto minimo dell’atto di nomina a responsabile, che definiscano le persone autorizzate al trattamento o che delimitino il regime di responsabilità tra i soggetti che trattano dati personali. Tuttavia, al capitolo V, sono individuati gli obblighi del titolare del trattamento. In questo senso, è previsto che lo stesso adotti tutte le misure per garantire che le attività di trattamento dei dati personali siano conformi alle disposizioni di legge e ai regolamenti amministrativi e che impediscano l’accesso non autorizzato, la perdita o il furto, la distorsione o la cancellazione dei dati personali. Le norme, quindi, impongono di: sviluppare sistemi di gestione interna e procedure operative; implementare una gestione gerarchica e categorizzata delle informazioni personali; adottare misure tecniche di sicurezza appropriate, come la crittografia e la de-identificazione; adeguatamente formare i dipendenti; sviluppare e organizzare l’attuazione di piani di emergenza per gli incidenti di sicurezza.
Non mancano, poi, previsioni che obbligano il titolare del trattamento, al ricorrere di determinate circostanze, a condurre risk assessment per certi versi assimilabili alla valutazione d’impatto. Similmente è prevista una procedura per la notifica all’autorità di eventuali data breach. La previsione, però, non è certo stringente, specie nei tempi di notifica e sembra non considerare i rischi per i diritti e le libertà degli interessati.
Le basi giuridiche per il trattamento dei dati personali e i diritti degli interessati.
Dalla lettura del disegno di legge emerge con chiarezza come le basi giuridiche legittimanti il trattamento siano plurime. Oltre al consenso anche l’interesse pubblico, il contratto, la salute pubblica e le previsioni di legge.
Interessanti sono le precisazioni sul consenso. Lo stesso deve essere espresso specificamente dalle singole persone fisiche in modo volontario, esplicito, previa adeguata informazione ed è sempre revocabile. Inoltre, in caso di modifica delle finalità, delle modalità o del tipo di trattamento dei dati personali, il consenso dell’interessato deve essere nuovamente ottenuto.
Occorrerebbe riflettere sulla previsione che – salvo errori di traduzione – dispone che il titolare del trattamento non può rifiutarsi di fornire prodotti o servizi per il fatto che una persona non acconsenta al trattamento dei suoi dati personali o revochi il suo consenso a tale trattamento, salvo che il trattamento dei dati personali sia essenziale per la fornitura di prodotti o servizi. Ci si chiede se la lettura a contrario della norma possa aprire la porta a forme di consenso obbligato.
Il titolare del trattamento è tenuto a informare adeguatamente l’interessato. Tuttavia, sembra opportuno segnalare che la legge prevede da un lato, l’ammissibilità di un’informativa tardiva laddove sia impossibile informare tempestivamente gli interessati per cause eccezionali; dall’altro, la possibilità di escludere del tutto l’informativa se vi è una qualsiasi circostanza che deve essere tenuta riservata e non può essere divulgata come previsto dalle leggi o dai regolamenti amministrativi.
Per quanto riguarda i diritti, gli interessati vantano il diritto di essere informati sul trattamento e di decidere se limitare o opporsi al trattamento dei propri dati personali; sono riconosciuti i diritti di accesso, rettifica e cancellazione; è previsto che gli interessati possano chiedere spiegazioni sulle modalità di trattamento. Qualora le richieste individuali di esercitare i propri diritti siano respinte, dovranno essere spiegate anche le ragioni.
Trasferimento transfrontaliero dei dati personali
Per esigenze commerciali i titolari del trattamento possono trovarsi nella condizione di dover trasferire informazioni personali al di fuori del territorio della Repubblica Popolare Cinese. In questo caso è necessario: che si sia superata la valutazione di sicurezza organizzata dalle autorità statali del cyberspazio; sia stata ottenuta una certificazione di protezione dei dati personali da agenzie professionali; sia stato stipulato apposito contratto con le parti riceventi anche al fine di garantire che gli standard di protezione dei dati personali previsti dalla legge siano soddisfatti.
Interessante la previsione che prevede la possibilità di stilare una black list. Se organizzazioni o individui stranieri svolgono attività di trattamento che danneggiano i diritti dei cittadini cinesi o mettono in pericolo la sicurezza nazionale o gli interessi pubblici della Cina, la stessa può inserirli in una lista nera e sarà conseguentemente loro limitato o vietato ricevere dati personali. È chiaro che le vaghe espressioni di sicurezza nazionale e interesse pubblico suscitano non pochi dubbi e perplessità.
Sanzioni e poteri dell’autorità
In caso di gravi violazioni del trattamento dei dati personali ovvero per la mancata adozione delle misure necessarie per la protezione degli stessi, le sanzioni possono arrivare fino a 50.000.000 Yuán (7,4 milioni di dollari) o fino al 5% delle entrate dell’anno precedente.
Le autorità che svolgono compiti di protezione dei dati personali possono adottare diversi provvedimenti nell’esercizio dei propri poteri di protezione dei dati personali
Possono, quindi, interrogare qualsiasi parte interessata per indagare su qualsiasi circostanza relativa ad un’attività di trattamento dei dati personali; consultare e copiare qualsiasi contratto, registrazione, ricevuta o qualsiasi altro materiale pertinente di una parte interessata che sia collegato ad un’attività di trattamento dei dati personali; condurre ispezioni in loco per indagare su qualsiasi presunta attività illecita di trattamento dei dati personali; ispezionare qualsiasi attrezzatura o oggetto collegato ad un’attività di trattamento dei dati personali, che può essere sequestrato o confiscato se vi sono prove che dimostrano la sussistenza di un’attività illecita di trattamento dei dati personali.
Meritevole di particolare attenzione è una delle ultime previsioni secondo cui qualsiasi violazione che costituisca un reato penale sarà indagata secondo la legge per responsabilità penale.
Conclusioni
Sono indubbiamente ancora timidi passi ma si auspica che siano i prodromi per una compiuta regolamentazione sulla protezione dei dati personali.
