dati personali

Privacy: come adeguarsi alla complessa disciplina cinese

Home Sicurezza digitale Privacy
Indirizzo copiato

La Cina si mostra sempre più attenta alla protezione dei dati personali e non, con una vasta legislazione a riguardo. Come districarsi nella Personal Information Protection Law (PIPL) e nelle nuove misure previste per il trasferimento di dati personali al di fuori del territorio cinese

Pubblicato il 28 nov 2023
Marzia Piscopo

Global Data Protection specialist

china-ue

La Cina presta sicuramente grande attenzione al valore dei dati (personali e non) che vengono trattati all’interno del proprio territorio e la stessa attenzione e cura si riflette nell’ampia normativa in essere in relazione alla tematica in oggetto.

La Personal Information Protection Law (PIPL), prima disciplina organica sulla protezione dei dati personali, ricopre il ruolo di “capo famiglia” di altre normative fondamentali figlie.

Privacy, aziende Ue alle prese con la nuova legge cinese: cosa cambia rispetto al Gdpr

A titolo esemplificativo: la Cybersecurity Law, la Data Security Law, Outbound Data Transfer Security Assessment Measures del Cyberspace Administration of China (CAC), Cybersecurity Standard Practice Guide – Security Certification Specification for Cross-border Processing of Personal Information.

In uno Stato in cui la lingua ufficiale dei prodotti normativi è il cinese ed in cui è rara la pubblicazione ufficiale anche in lingua inglese, districarsi tra gli stessi da europei ed italiani potrebbe risultare complicato. Si richiede: grande passione, attività di ricerca certosina e, perché no, anche qualche amico esperto in lingua cinese che si immoli per il vostro bene in una traduzione di cui possiate fidarvi.

La disciplina generale prevista dalla PIPL

Il Capitolo III disciplina il trasferimento dei dati personali al di fuori del territorio della Repubblica Popolare Cinese, una traduzione non ufficiale del testo è disponibile al seguente link.

Si premette che vanno rispettati tutti i requisiti generali relativi al trattamento dei dati, quali ed esempio l’individuazione dell’opportuna base giuridica e, se il caso, la raccolta di specifico e distinto consenso del data subject in relazione al trattamento di dati particolari. L’articolo 38 prevede che: nel caso in cui i personal information handlers (corrispondenti ai data controller ai sensi del GDPR) debbano effettivamente fornire informazioni personali al di fuori dei confini della Repubblica Popolare Cinese per motivi di business o per altre esigenze di questo tipo, dovranno soddisfare una delle seguenti condizioni:

  1. superare una valutazione di sicurezza condotta dal Cyberspace Administration of China, ai sensi dell’articolo 40 PIPL;
  2. ottenere una certificazione di protezione dei dati personali da parte di un ente specializzato secondo le disposizioni del Cyberspace Administration of China;
  3. stipulare un contratto con la parte ricevente straniera in conformità con un contratto standard formulato dal Cyberspace Administration of China, concordando i diritti e le responsabilità di entrambe le parti.

Altre condizioni potrebbero essere previste da leggi o regolamenti amministrativi o dal Cyberspace Administration of China.

L’opzione numero uno di cui sopra è obbligatoria nei seguenti casi:

  1. trasferimento di dati importanti al di fuori della Cina;
  2. trasferimento di informazioni personali al di fuori della Cina da parte di un operator of critical information infrastructure[1] o di un personal information handler che tratta informazioni personali relative a più di un milione di persone;
  3. trasferimento complessivo di informazioni personali di oltre 100.000 persone o trasferimento complessivo di informazioni personali “sensibili” di oltre 10.000 persone; oppure
  4. altre circostanze che richiedono l’assessment obbligatorio da parte del CAC.

Le Measures on Standard Contract for Personal Information Exit

Da quanto brevemente sopra descritto, si evince come, per adeguarsi alla normativa, non sia prevista una via semplice e poco dispendiosa in termini di risorse, tempo e denaro per le aziende ed organizzazioni. Arrivano in soccorso il primo giugno 2023 le Measures on Standard Contract for Personal Information Exit[2] emesse dal CAC. Queste risultano fondamentali per tutte quelle organizzazioni ed aziende che non rientrano nella casistica di obbligatorietà dell’assessment del CAC e a cui, appunto, residuano come strumenti per il trasferimento: la certificazione o lo standard contract. Le Measures si completano con la pubblicazione dello Standard Contract for Personal Information Exit[3]. Le Measures on Standard Contract for Personal Information Exit hanno previsto un grace period di sei mesi per permettere a tutte le organizzazioni ed aziende che stiano realizzando trasferimenti di dati personali di adeguarsi e tale periodo scade il primo dicembre 2023.

Lo standard contract e la via semplificata per il trasferimento

A differenza delle Standard Contractual Clauses for international transfers emesse dalla Commissione Europea, lo standard contract non prevede moduli differenti, ma un unico template applicabile indifferentemente in tutte le ipotesi in cui un’organizzazione trasferisca dati al di fuori della Cina (sia essa controller o processor[4]).

Lo standard contract andrà stipulato e sottoscritto tra le singole aziende esportatrici ed importatrici dei dati personali e dovrà includere tutte le attività di trattamento e relativo volume di dati oggetto del trasferimento, così da non eludere le soglie previste per legge che fanno scattare in automatico l’assessment obbligatorio del CAC.

Lo standard contract, al pari delle SCCs europee, prevede una parte fissa che si sostanzia nelle clausole giuridiche, ed una parte mobile che andrà compilata dalle parti inserendo le differenti informazioni richieste quali:

  • informazioni identificative dell’esportatore e dell’importatore dei dati (indirizzo, dati di contatto, referente dell’azienda, ruolo del referente);
  • misure organizzative e di sicurezza dettagliate che si applicano ai dati in riferimento al contratto in essere tra le parti ed al servizio fornito;
  • scelta del foro e della giurisdizione in caso di controversie;
  • descrizione dettagliata dell’attività di trattamento e del relativo trasferimento, a titolo esemplificativo: finalità, volume di dati trasferiti, categoria di dati personali e dati particolari oggetto del trasferimento, periodo e luogo di conservazione.

È prevista poi la possibilità di negoziare clausole aggiuntive, purché le stesse non vadano in contrasto con quanto previsto nello standard contract.

Il Personal Information Protection Impact Assessment (PIPIA)

Oltre alla compilazione e sottoscrizione dello standard contract, si richiede il deposito presso il CAC locale di una copia del Personal Information Protection Impact Assessment (PIPIA). Quest’ultimo andrà condotto da parte dell’azienda/organizzazione esportatrice in relazione al trasferimento e al suo impatto sui diritti e sugli interessi dei data subjects in relazione ai dati personali oggetto di trasferimento.

Le aziende ed organizzazioni per procedere con il PIPIA dovranno necessariamente considerare e valutare:

  • la legittimità, l’adeguatezza e la necessità delle finalità, dell’ambito e dei mezzi del trattamento dei dati personali da parte di esportatore ed importatore;
  • la quantità, la portata, il tipo e la sensibilità delle informazioni personali da trasferire all’estero e i rischi sui diritti e sugli interessi delle persone sulle informazioni personali;
  • il rischio di manomissione, sabotaggio, divulgazione, perdita o uso improprio delle informazioni personali dopo il trasferimento e l’esistenza di un canale agevole per la protezione dei diritti e degli interessi delle persone sulle informazioni personali;
  • le responsabilità e gli obblighi che l’importatore si impegna a rispettare, incluse le misure e le capacità gestionali e tecniche dello stesso per adempiere a tali responsabilità e obblighi che dovranno essere sufficienti a garantire la sicurezza delle informazioni personali da trasferire;
  • l’impatto delle politiche e delle normative in materia di protezione dei dati personali nel paese o nella regione in cui si trova l’importatore per non inficiare la validità e l’esecuzione dello standard contract;
  • altre questioni che possono incidere sulla sicurezza delle informazioni personali da trasferire all’estero.

A seguito della finalizzazione del PIPIA e della sottoscrizione dello standard contract, entro dieci giorni dalla firma di quest’ultimo, sarà necessario depositare la documentazione prodotta in lingua cinese presso la sede del CAC locale competente. Al momento non è dato sapere se sia possibile produrre la documentazione anche in una versione inglese (mancando una versione ufficiale inglese dello standard contract), si attendono chiarimenti sul punto da parte del CAC. Importante dunque sottolineare come il deposito della documentazione vada effettuato necessariamente dopo la sottoscrizione e firma dello standard contract. Si evidenzia, inoltre, che tale deposito potrebbe avvenire con metodi e canali diversi; dunque, è auspicabile un intervento chiarificatore del CAC per fornire indicazioni precise al riguardo.

In caso di modifiche alle attività di trattamento che impattano su quanto oggetto di trasferimento (ad esempio, modifiche allo scopo, all’ambito, al periodo di conservazione o al luogo di conservazione delle informazioni personali, o modifiche alle normative sulle informazioni personali del paese o della regione in cui si trova l’importatore che potrebbero avere un impatto sugli interessi dei data subjects), sarà necessario:

  • condurre un nuovo PIPIA e produrre un report aggiornato;
  • stipulare un nuovo standard contract o procedere con una integrazione dello stesso che riporti tali modifiche;
  • depositare la documentazione aggiornata presso il CAC locale competente; e
  • nel caso in cui il l’azienda o l’organizzazione abbia già effettuato trasferimenti transfrontalieri prima del primo giugno 2023, adottare misure di rettifica prima della scadenza del grace period.

In relazione alle violazioni della normativa e alle relative sanzioni, ai sensi dell’articolo 11 delle Measures, qualora il CAC ritenga che vi sia un grave rischio in relazione al trasferimento dei dati personali o che si verifichino incidenti di sicurezza, può richiedere chiarimenti al data controller/processor[5]. Questi ultimi dovranno adeguarsi quanto prima con quanto richiesto dal CAC per eliminare i pericoli evidenziati e attuare le opportune azioni integrative/correttive.

In questa prima fase, il CAC presumibilmente comunicherà direttamente con le organizzazioni/aziende inadempienti per lasciare loro il tempo per correggere i propri errori. Tuttavia, nelle situazioni più gravi, quali ad esempio un rifiuto dell’organizzazione/azienda di conformarsi, si potrebbero configurare le soglie di gravità di cui all’articolo 66 del PIPL, applicandosi dunque le relative sanzioni.

Conclusioni

L’entrata in vigore delle Measures on Standard Contract for Personal Information Exit conferma, a parere di chi scrive, la volontà da parte delle autorità cinesi di mantenere un certo controllo sulle informazioni personali che circolano all’interno del proprio territorio e, ancor di più, nel caso in cui queste debbano lasciarlo per essere condivise altrove. Da un lato, le Measures e lo standard contract vengono accolti favorevolmente, poiché consentono alle aziende ed organizzazioni di valersi di uno strumento più semplice per il trasferimento dei dati, tenendo sempre fermo l’obbligo di passare dal CAC locale per il deposito della documentazione con le possibili difficoltà che possono incontrarsi. Dall’altro lato, la disciplina si conferma stringente, con l’assessment obbligatorio del CAC, per tutte quelle casistiche in cui le informazioni personali trattate costituiscono dati importanti ai sensi delle leggi e dei regolamenti pertinenti. All’assessment del CAC, talvolta, si aggiungono stringenti requisiti di localizzazione dei dati, quali ad esempio l’obbligo di conservazione in Cina.

In generale, si potrebbe dire che se da un lato il PIPL prende ispirazione dalla normativa europea relativa al trattamento dei dati personali, ad esempio, in relazione ai principi, dall’altra parte considerando la libera circolazione degli stessi, se ne discosta particolarmente, prediligendo un approccio tendente alla verifica e al controllo sulle informazioni che lasceranno il paese.

Note

[1] Aziende che operano in determinati settori quali ad esempio: reti elettriche, operatori del trasporto pubblico, fornitori militari, ecc.

[2] Versione ufficiale in lingua cinese disponibile al seguente link: 个人信息出境标准合同办法-中共中央网络安全和信息化委员会办公室 (cac.gov.cn)

[3] Versione non ufficiale in lingua inglese disponibile al seguente link: China’s Standard Contractual Clauses (English translation) (iapp.org)

[4] Si tengano in considerazione le definizioni previste all’articolo 4 GDPR in questo caso.

[5] Si tengano in considerazione le definizioni previste all’articolo 4 GDPR in questo caso.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • anticorruzione

    Whistleblowing: cosa cambia in concreto per le aziende

    02 Feb 2024

    di Angelo Jannone

    Condividi

Prossimo

Whistleblowing: cosa cambia in concreto per le aziende

Articolo 1 di 2