Dal 1° novembre 2021 è entrata in vigore la Personal Information Protection Law (PIPL) cinese. Una legge attesa in tutto il mondo e la prima di questo tipo in Cina, che ha evidentemente preso ispirazione dal nostro General Data Protection Regulation (GDPR), in vigore dal 25 maggio 2018.
La PIPL è destinata ad avere un impatto enorme, anche più del GDPR. Il meccanismo di applicazione territoriale è pressoché identico. La legge si applica infatti anche alle aziende situate al di fuori della Cina che trattano dati riferibili a persone fisiche presenti in Cina. Si applicherà quindi anche alle aziende italiane che offrono prodotti e servizi a persone fisiche presenti in Cina, che analizzano o valutano il loro comportamento, o in altre circostanze previste da altre leggi e regolamenti.
Vale la pena sottolineare che anche l’accesso da remoto (ad esempio dall’Italia) a dati conservati sul territorio cinese equivale a un trasferimento extra-territoriale di dati, a cui si applica la normativa. Proprio come previsto anche dal GDPR.
Privacy, Pizzetti: “Il nuovo approccio cinese e l’importanza di un mercato unico digitale globale”
Pipl e Gdpr, differenze sostanziali e ideologiche
In pratica, se una software house italiana fornisce un servizio in modalità SaaS (software as a service) ad aziende in Cina, trattando dati di persone presenti in Cina, dovrà rispettare la PIPL – oltre al GDPR, s’intende.
La buona notizia è che le aziende che hanno già iniziato un percorso di adeguamento al GDPR avranno poche difficoltà a rispettare anche la PIPL – tenendo in debita considerazione le differenze, che esistono e talvolta sono anche sostanziali.
Prima di vedere nel concreto qualcuna di queste differenze, è bene soffermarsi sulla diversa natura e ideologia della PIPL, da cui scaturiscono poi tutte le sue differenze rispetto al GDPR.
L’articolo 1 della PIPL afferma espressamente che lo scopo della legge è “proteggere i diritti delle persone, standardizzare le procedure di trattamento dei dati e promuovere un uso razionale dei dati”. Come il GDPR, anche la PIPL si pone l’obiettivo primario di difendere i diritti delle persone. Ma le somiglianze si fermano qui.
Da una parte, il GDPR promuove la libera circolazione dei dati all’interno del mercato unico europeo. I dati sono visti come una risorsa necessaria all’espansione e al funzionamento del mercato unico digitale.
Dall’altra, la PIPL, che invece promuove un uso standardizzato e razionale dei dati, che non solo sono visti come un asset produttivo, ma anche come un asset strategico per la sovranità digitale e la sicurezza dello Stato e delle persone. Il motivo di questa differenza ideologica può forse anche ricercarsi nelle diverse esigenze economiche e politiche tra Cina e Unione Europea. Se noi abbiamo l’esigenza primaria di stimolare il libero commercio tra Paesi Membri, la Cina ha invece l’esigenza primaria di proteggere la sovranità digitale che ha guadagnato negli ultimi venti anni. D’altronde, non si può certo dire che l’UE abbia una sovranità digitale da proteggere, considerando che siamo in tutto e per tutto dipendenti dagli Stati Uniti.
Il testo normativo
Passando al testo normativo, questo si compone di otto capitoli, che iniziano come il GDPR descrivendo i principi generali e le condizioni di liceità da rispettare per trattare dati personali. Questi principi sono molto simili a quelli previsti dal GDPR, anche se il legislatore cinese per certi versi si spinge oltre. Ad esempio, è particolarmente interessante il divieto espresso di trattare dati in modo “ingannevole o con raggiri”. In base a questo divieto sarebbero illeciti tutti quei dark patterns che spesso flagellano il web (soprattutto nell’ambito cookie), in quanto azioni che hanno lo scopo di ingannare l’utente.
È chiaro che, per via interpretativa, lo stesso principio potrebbe desumersi anche dal GDPR, ma non è certamente un argomento forte quanto la lettera della legge.
Il capitolo sui principi si conclude con alcuni articoli direttamente rivolti allo Stato, che si impegna espressamente a migliorare le condizioni di trattamento dati attraverso attività di propaganda e educazione, e attraverso la collaborazione con aziende e organizzazioni. Anche qui si comprende bene la diversità d’intenti tra la PIPL e il GDPR, che invece non prevede obblighi di questo tipo verso i Paesi Membri.
Condizioni di liceità del trattamento dati
Le condizioni di liceità del trattamento di dati, cioè quelle regole da rispettare per realizzare un trattamento lecito, sono descritte al secondo Capitolo. Senza entrare nel dettaglio, vale la pena evidenziare una grande differenza col GDPR, che riguarda i cosiddetti dati sensibili. Il legislatore cinese ha infatti scelto un approccio non tassativo (al contrario del GDPR) per descrivere questa categoria di dati. Nella PIPL per dati sensibili si intendono quelle informazioni che se diffuse o usate in modo illecito possono causare un danno alla dignità della persona, danni biologici o patrimoniali. In pratica, tutto e niente, a seconda del contesto. I relativi articoli (28 e 29) provvedono a fornire un’elencazione esemplificativa di alcuni dati sensibili. Qui le differenze col GDPR sono marcate: anche le informazioni finanziarie e le informazioni sulla geolocalizzazione sono considerate (giustamente) sensibili. Non solo, anche tutti i dati che riguardano i minori di 14 anni sono considerati sensibili. Le aziende italiane o europee a cui si applica la PIPL dovranno quindi prestare la massima attenzione a questo aspetto, da cui derivano poi specifiche responsabilità.
Trasferimento di dati al di fuori della Cina
Dopo aver descritto i principi e le condizioni di liceità del trattamento il legislatore provvede a descrivere le regole per il trasferimento di dati al di fuori della Cina (Capitolo III).
Da un punto di vista sistematico, la scelta di inserire queste regole subito dopo i principi generali e prima ancora dei diritti delle persone e delle regole di governance, è significativa: mostra l’importanza del controllo dei dati da parte del National People’s Congress (NPC).
Il trasferimento di dati al di fuori del territorio cinese è sempre visto come un trattamento per sua natura pericoloso. Proprio a causa di questa diffidenza verso il trasferimento di dati al di fuori della Cina, il legislatore ha prescritto il rispetto di diverse condizioni obbligatorie. Tra queste, è sempre obbligatorio ottenere il consenso della persona e sottoporre il trattamento a valutazione d’impatto prima del trasferimento.
Nel framework del GDPR invece l’approccio è molto diverso. Raramente il consenso è una valida base giuridica per un trasferimento di dati extra-UE, e non sempre il trasferimento è un trattamento considerato rischioso e quindi soggetto a valutazione d’impatto. Anzi, in alcuni frangenti è la stessa Commissione Europea che ci dice che il trasferimento è “sicuro” (verso i paesi ritenuti adeguati).
Ma non finisce qui. Oltre al consenso e alla valutazione d’impatto, è necessario rispettare almeno un’altra condizione tra:
- sottoporsi a uno schema di certificazione che possa dimostrare il rispetto dei requisiti previsti dal Cyberspace Administration of China (CAC)
- concludere un contratto tra esportatore e importatore, che possa garantire il rispetto della normativa (similmente alle nostre Standard Contractual Clauses)
- sottoporsi a una valutazione di sicurezza da parte del CAC. Quest’ultima condizione è prevista però solo per gli operatori di infrastrutture critiche o per le aziende che trattano grandi quantità di dati
Le responsabilità dei personal information handlers
I Capitoli successivi definiscono le specifiche responsabilità dei personal information handlers (i nostri data controller / titolari del trattamento) in materia di governance interna. Anche in questo caso, la differenza con il GDPR è primariamente ideologica.
Se il legislatore europeo ha preferito un certo grado di flessibilità della normativa, con un approccio puramente orientato alla valutazione del rischio della singola azienda, il legislatore cinese ha preferito lasciare meno libertà d’azione.
Ad esempio, è obbligatorio per qualsiasi azienda dotarsi di specifiche politiche e procedure interne per la gestione dei dati. In UE invece l’adozione di queste politiche è lasciata alla valutazione del titolare (se “proporzionato” al trattamento, come previsto dall’articolo 24).
Un altro esempio, che riguarda sempre la governance interna, è relativo alla gestione delle notifiche in caso di violazione di dati (data breach). Con il GDPR, è il Titolare che è chiamato a valutare la gravità dell’incidente per decidere se è necessario o meno notificare l’evento all’Autorità competente e ai soggetti interessati. Con la PIPL invece la notifica all’Autorità è sempre obbligatoria. Così come è sempre obbligatoria anche nei confronti dei soggetti interessati, salvo che il personal information handler sia in grado di dimostrare l’adozione di misure adeguate a mitigare ogni possibile danno per le persone (es. crittografia dei dati rubati).
Le sanzioni
Infine, anche le sanzioni rispecchiano la diversa ideologia della PIPL e la volontà del NPC di proteggere i dati in quanto asset strategico per il Paese.
La PIPL prevede infatti anche sanzioni pecuniarie (da €14.000 a € 140.000 circa) per le persone fisiche direttamente responsabili della violazione. Ad esempio, un amministratore delegato o un dirigente pubblico. A questo si aggiungono diverse sanzioni per le aziende, sia pecuniarie (fino al 5% del fatturato dell’anno precedente) che non, come la sospensione di tutte le attività e/o la revoca di licenze e permessi. Una sanzione questa, che potrebbe comportare gravi problemi soprattutto per chi fa affari con la Cina dall’estero, probabilmente anche più delle sanzioni pecuniarie.
Conclusioni
È indubbio che la PIPL sarà una nuova sfida per le aziende di tutto il mondo, che però dovrebbero essere preparate ad affrontarla grazie all’esperienza del GDPR. Come descritto sinteticamente in questo articolo è importante però avere ben presenti le differenze, sia culturali che pratiche, tra PIPL e GDPR. Sotto questo punto di vista è innegabile che la normativa per la protezione dei dati sta assumendo un ruolo sempre più globale e geopolitico. DPO che consulenti per la protezione dei dati non potranno più limitarsi a guardare soltanto all’Italia o all’Unione Europea, ma dovranno essere in grado di consigliare alle aziende la strada migliore tenendo in considerazione l’intreccio tra i diversi framework globali.
