Nei giorni a cavallo di Ferragosto i notiziari online hanno dato molta importanza all’imminente entrata in vigore della nuova legge cinese di tutela dei dati, definita nella versione inglese come “Personal Information Protection Law of the People’s Republic of China”, destinata ad avere piena applicazione dal primo novembre 2021.
L’attenzione suscitata dalla notizia era certamente giustificata anche perché il contenuto della legge citata è, come accaduto anche in altri sistemi giuridici, assai simile al GDPR e dunque testimonia del fatto che anche la Cina sembra aggiungersi al sistema dei Paesi che a livello globale hanno adottato lo schema concettuale e le categorie giuridiche proprie del modello europeo per tutelare le informazioni e i dati personali all’interno del proprio territorio.
Data protection, la Cina pronta per la sua prima legge: ecco cosa dice
Anche la legge cinese, infatti, è imperniata intorno al principio della informativa agli interessati e dell’ottenimento del loro consenso come elementi essenziali su cui si fonda la legittimità della raccolta e dell’utilizzazione delle informazioni riconducibili alla categoria dei dati personali. Sono inoltre ripresi nella legge cinese anche i principi di minimizzazione dei dati e l’obbligo della loro cancellazione quando vengano meno le basi legali per la loro utilizzazione e conservazione. Sono previste infine sanzioni rilevanti nei confronti dei titolari che utilizzino senza base legale i dati personali di terzi con l’introduzione, questa non presente nel GDPR, della previsione della responsabilità personale anche in capo al soggetto direttamente responsabile del trattamento illecito che può vedersi comminata una sanzione pecuniaria rilevante che può andare da 100.000 a un milione di yuan (art.66 della legge).
Privacy, cybersecurity e sicurezza dei dati: caratteristiche e nodi del sistema legislativo cinese
L’aspetto più importante del sistema regolatorio cinese è però che la legge di Protezione dei dati personali forma sistema e deve essere coordinata con altre due leggi essenziali. La prima è, nella versione inglese pubblicata da China Law Translate, la Cybersecurity Law, in vigore fin dal primo giugno 2017; la seconda è, sempre nella versione inglese, la Data Security Law (DSL), la cui ultima revisione approvata il 10 giugno 2021 dallo Standing Commitee del Congresso nazionale della Repubblica popolare cinese, è destinata a entrare in vigore praticamente insieme alla nuova legge sulla protezione dei dati personali.
Se si vuole affrontare il tema della tutela e dei vincoli relativi all’uso dei dati, compresi i dati personali, posti in essere nella Repubblica popolare cinese non ci si può quindi limitare ad esaminare la legge sulla protezione dei dati personali che entrerà pienamente in vigore dal 1° novembre 2021, ma occorre tener presente anche le altre due leggi citate, relative rispettivamente alla Cybersecurity e alla tutela dei dati in generale, considerati sulla base di tre categorie di dati indicate dall’art. 21 della stessa Data Security Law: le tre categorie comprendono i “core data of State”, gli “important data” e i “general data”.
I “core data of State” riguardano la sicurezza nazionale, gli assi portanti dell’economia e dei mezzi di sostentamento della popolazione e quelli relativi alle maggiori attività di interesse pubblico. Le violazioni relative ai trattamenti di questi dati possono essere punite con sanzioni che arrivano a 10 milioni di RMB (circa 1 milione e mezzo di dollari), la sospensione delle attività, la revoca delle eventuali licenze concesse e in certi casi possono determinare anche responsabilità penali.
Per gli “important data”, già previsti dalla Cyber security Law in vigore fin dal 2017, si prevede che le reti di operatori adottino specifiche e adeguate misure di backup e di cifratura per la loro tutela. Inoltre, i titolari di trattamenti di “important data” devono nominare i relativi responsabili e istituire appositi dipartimenti interni per il loro trattamento. Infine devono assicurare regolari attività di risk assestements e trasmettere i relativi risultati alle autorità competenti.
Né la legge sulla Cyber sicurezza, né quella sulla Sicurezza dei dati definiscono un elenco chiuso relativamente al catalogo degli “important data” o alle misure di sicurezza che devono essere assicurate. Spetta infatti al National data security coordination mechanism, previsto dall’art. 6 della DSL, coordinare i dipartimenti interessati a formulare il catalogo di questi dati a livello nazionale. La stessa DSL, inoltre, prevede e autorizza le diverse regioni amministrative della Cina e i differenti settori industriali a definire proprie categorie di “important data”, stabilendo anche le relative misure da adottare.
Va sottolineato, infatti, che tutta la legislazione cinese in materie di sicurezza dei dati e, in particolare, di cyber security, sconta la possibilità di normazioni regionali adottate da organismi a competenza regionale anche se vincolati al rispetto di regole e misure uniformi, stabilite dai competenti dipartimenti a livello centrale, secondo quanto previsto nell’art.15 della DSL. Un modo, questo, per consentire una certa elasticità di relazioni fra livello centrale e livelli regionali pur in un quadro uniforme di sicurezza comune. Un modo che può ricordare da vicino anche alcune caratteristiche dell’Unione Europea, eternamente alle prese col problema di come armonizzare le esigenze di uniformità di regolazione proprie del Mercato Unico, col principio di competenza degli Stati, ai quali, nell’ordinamento unionale, spetta in via generale non solo l’applicazione della normativa unionale, specie quando questa è direttamente vincolante, ma anche assicurare il suo adattamento alle condizioni specifiche di ciascuno Stato, ovviamente sempre nel rispetto delle regole proprie del principio di sussidiarietà applicato al Mercato Unico.
Gli aspetti salienti del sistema cinese
Le poche note qui richiamate non sono certamente sufficienti a comprendere lo spessore e la complessità dell’articolazione cinese di tutela dei dati, personali e non.
A tal fine sarebbe necessario sviluppare un’analisi approfondita anche della Cyber security law, in vigore fino dal 2014 e della Data Security Law, specie nella versione attualmente in vigore, approvata dallo Standing Committee Nationale People’s Republic of China il 10 giugno 2021 e destinata a entrare in vigore dal 1 settembre 2021, praticamente poche settimane prima della Personal Protection Information Law, che entrerà in vigore il 1 novembre 2021.
Tuttavia, anche questi pochi cenni sono sufficienti a comprendere come il sistema di protezione dati cinese sia molto più articolato e ampio di quanto normalmente si creda e si dica, specialmente nel contesto europeo.
Vi sono però almeno tre aspetti del sistema cinese che qui merita sottolineare con forza.
Non solo dati personali
Il primo aspetto riguarda il fatto stesso che la Cina si sia dotata di un complesso apparato normativo relativo non solo alla protezione dei dati personali ma anche alla tutela dei dati intesi in senso generale come “any records of information in electronic or other forms” (questa è la definizione contenuta nella DSL).
L’apparato regolatorio cinese dunque non è centrato solo sui dati personali ma su tutti i dati, intesi come “informazioni in formato elettronico o in altri formati” comunque trattate. Si può dire anzi che la “Personal Information Law”, adottata solo nel 2021 giunge buona ultima rispetto a un sistema regolatorio che, con la Cybersecurity Law, ha la sua prima manifestazione fin dal 2014 e che è stato ulteriormente rafforzato dalla Data Security Law, non a caso rivista anch’essa nel 2021.
Se poi si va a vedere più da vicino il contenuto di questo complesso apparato regolatorio si vede che gli scopi principali sono essenzialmente due: il primo, relativo appunto alla sicurezza, specialmente informatica dei dati, inteso come tutela da accessi illegittimi ai dati o dall’utilizzazione di dati falsi, non corretti o sovrabbondanti e non verificati rispetto agli scopi che si intendono perseguire.
La sovranità digitale
Il secondo aspetto, forse ancora più importante, è la tutela della sovranità digitale della Repubblica popolare cinese, non a caso menzionata esplicitamente dall’art.1 della Data Security Law, secondo il quale “In order to ensure data security, promote data development and use, protect the lawfull rights and interest of citizens and organizations, and safeguard national security, and development intersts, this Law is formulated”.
Proprio in connessione con questo scopo l’art. 2 della DSL precisa subito che “this law is applicable to the conduct of data activities within the mainland territory of the people’s Republic of China”.
Il quadro si completa tenendo conto che la DSL, disciplinando il trasferimento di dati all’estero distingue tra i requisiti che devono essere rispettati da chi opera nell’ambito di “Critical Information Infracstrutture” (CII) e quelli che devono essere osservati da chi invece opera in infrastrutture o attraverso sistemi di trasferimento che non rientrano in tale categoria.
Chi opera nell’ambito di CII è tenuto a rispettare la Cyber Security Law che gli operatori di queste Infrastrutture debbono applicare all’interno del territorio cinese, nel quadro dell’obbligo di conservazione nel territorio dei relativi dati.
Nel caso poi in cui si rendano necessari i trasferimenti di dati all’estero per ragioni di businness, gli operatori devono operare specifici Impact Assessment, tenendo conto delle misure definite in modo congiunto dalla Cyberspace Administration of China (CAC) e dai competenti dipartimenti del Consiglio di Stato.
In ogni caso è vietato severamente il trasferimento di qualunque dato all’estero anche a favore di autorità di enforcement straniere o di autorità giudiziarie fuori della Cina senza una apposita autorizzazione formale del governo cinese. Se il trasferimento avviene senza previa autorizzazione il titolare può essere condannato a una sanzione fino a un milione di RMB (approssimativamente 1 milione e 560.000 dollari). Se il trasferimento causa serie conseguenze, anche nell’ambito businness, l’operatore può essere sanzionato fino a dieci milioni di RMB (circa 15.6 milioni di dollari). Sanzione alla quale si può aggiungere la sospensione della licenza dell’operatore relativa all’attività commerciale.
Sono inoltre previste specifiche azioni per gli operatori che hanno effettuato i trasferimenti.
Infine, va detto che il 6 luglio 2021 il General Office del Partito Comunista Cinese e il General Office del Consiglio di Stato cinese hanno annunciato di voler “revising regulations on data security regarding companies. Issuance and listing shares oversas and stressed on improvement of laws and regulations of cross-border data flow and management of confidential information”.
Tutto questo spinge a consigliare agli operatori stranieri estrema attenzione rispetto ai trasferimenti di dati alla Cina e in genere rispetto all’avvalersi di servizi aventi ad oggetti trattamenti i dati posti in essere da fornitori residenti e operanti nel territorio cinese.
Il terzo aspetto importante è che la “Data security” comporta che, come precisa l’art. 4, “In ensuring data security, the overall nationl security concept shall be upheld, the security governance systems shall be established and completed, and data security protection capabilities increased”.
La ripartizione dei compiti tra stato e territori
L’ultimo aspetto di particolare interesse è la ripartizione di compiti tra Stato, inteso come Republic of China e le diverse articolazioni territoriali.
Afferma infatti l’art. 5 della DSL che “The State: protects the data-relate rights of citizens and organizations; encourages lawfull, reasonable, and effective data use; ensures the lawful and orderly free on and comprehensive coordination of data security work, researching formulating, and guiding the implementation of national data security strategies and related major policies and plans”.
Come si è già detto, è chiaro dunque che la Cina, come dal canto suo anche la UE, è alle prese col compito di armonizzare la necessità di regole diverse a seconda degli ambiti territoriali e dei settori economici e industriali pur assicurando una tutela uniforme, adeguata e forte, estesa a tutto il territorio nazionale.
Un perno essenziale di questo sistema è, infatti, proprio quello di assicurare una forte tutela dei dati estesa a tutto il territorio dello Stato. Una tutela che è strettamente legata anche all’obbiettivo principale di tutto questo apparto regolatorio: quello, appunto, di garantire e rafforzare costantemente la sovranità digitale cinese.
Cosa muove (davvero) il governo cinese?
È evidente che si delineano così i tratti regolatori e sostanziali di un ecosistema digitale cinese, non troppo dissimile a quello europeo o che la UE sta costruendo né troppo in contrasto con quello USA, anzi più di questo orientato a fare dello Stato e dunque del potere politico il tutore della tutela dei dati e della sovranità digitale del sistema e della società cinese.
Ci si potrebbe domandare a questo punto quale sia la reale politica dei dati che muove il governo cinese e quale la ragione dell’adozione, proprio quest’anno, della Personal Information Law of the People’s Republica of China (PIPL) mentre è ancora forte e pienamente attuale la pressione cinese sia per la costruzione della “nuova via della seta” che per la penetrazione sul mercato europeo dei sistemi e dei servizi delle imprese cinesi di telecomunicazione e per la messa a disposizione nel mercato globale di nuove tecnologie di comunicazione.
Sembra difficile negare, infatti, una qualche evidente contraddittorietà nell’adozione di regole assai vicine a quelle europee ma inserite in un sistema di tutela della sovranità digitale cinese che non può non insospettire il sistema economico europeo e occidentale in genere, come dimostra il fatto stesso che la notizia dall’adozione della nuova legge da parte della Cina e le prime valutazioni del suo contenuto hanno determinato perdite non marginali dei titoli azionari delle Big Tech cinesi nella borsa americana e nelle principali piazze affari europee.
Sembra, infatti, che la linea seguita in materia di protezione dei dati, pur a prima vista apparendo un avvicinamento forte al quadro europeo, costituisca invece un insieme di oggettivi ostacoli a un forte sviluppo degli scambi commerciali tra Cina e Europa, specialmente nell’ambito dei servizi connessi al trasferimento di dati e in genere ai sistemi di telecomunicazione.
Inoltre, e soprattutto, a spiegazione delle reazioni delle borse occidentali ma anche come elemento di riflessione ulteriore, va aggiunto che, secondo quanto riporta la CNBC del 24 agosto 2021, il vice Ministro cinese per la Cyberspace Administration of China, Sheng Ronghua, avrebbe affermato che le compagnie cinesi che vogliono avere rapporti col pubblico, ivi compreso il ricorso ai mercati azionari, devono essere compliant con le leggi cinesi nazionali di regolazione e tutelare le infrastrutture relative a informazioni critiche e dati personali.
Aspetto, questo, che mentre spiega le reazioni di borsa testimonia anche la piena consapevolezza cinese del valore dei dati, sicuramente non inferiore alla sensibilità che la UE ha per questo tema almeno fin dagli ultimi due decenni del secolo precedente.
Tutto questo pare spiegare bene e rafforzare ulteriormente le ragioni della iniziativa adottata dal Presidente Usa Joe Biden nel recente incontro del G7 in Cornovaglia, tesa a contenere l’influenza tecnologica cinese e a costruire persino una sorta di nuova Carta Atlantica, molto incentrata sulla tutela delle tecnologie in materia di Digital Age e sull’obiettivo di preservare i Paesi Nato dall’influenza cinese.
In sostanza, si potrebbe pensare che la politica cinese in materia di trattamento dei dati e della loro tutela contrasti con la politica di espansione industriale nel settore delle telecomunicazioni e in genere delle tecnologie incentrate appunto sull’ ICT e sui trattamenti digitali dei dati.
Tuttavia, prima di considerare questa riflessione come meritevole di pieno accoglimento è necessario ricordare che già nel settembre 2020 Pechino lanciò una significativa sfida agli altri Paesi del globo impegnati nella costruzione della Digital Age. Il riferimento è ovviamente all’intervento tenuto dal Ministro degli Esteri cinese Wang Yi durante un Seminario internazionale sulla Digital Governance, anche con riferimento al Clean Network Program annunciato nell’Agosto del 2020 dal Segretario di Stato USA Mike Pompeo anche come completamento della 5G Clean Plan iniziative, annunciata nell’Aprile dello stesso anno. Un programma, quest’ultimo, incentrato intorno a 5 linee strategiche (linee of effort) per contenere l’influenza cinese nella rete di telecomunicazioni USA, nelle app per mobile devices, nelle app relative al software, nel settore del cloud computing e, infine, anche relativamente alle reti di cavi sottomarini.
Con l’iniziativa dell’Agosto 2020 Pompeo e gli USA chiamarono più di 30 Paesi a partecipare a queste iniziative ed è proprio anche in risposta a questa presa di posizione che il Ministro degli esteri cinese tenne in settembre il suo intervento.
Con lo speech del settembre 2020 il Ministro Wang dichiarò la volontà cinese di opporsi a iniziative unilaterali quali quelle del Segretario USA Pompeo e lanciò la proposta di un “Global Initiative” per promuovere in maniera multilaterale un “Upholding Multilateralism, Fairness and Justice and Promoting Mutually Beneficial Cooperation”.
Il punto centrale dell’intervento menzionato è quello in cui il Ministro cinese afferma la consapevolezza cinese che una “global governance on digital issues” deve guardare lontano, anche molto oltre le tecnologie attualmente a disposizione.
In particolare, il Ministro cinese isolò otto punti specifici intorno ai quali cercare di costruire una concreta proposta di global governance della Digital Age.
- Il primo punto avrebbe dovuto riguardare in modo razionale e oggettivo la “data security” con l’obiettivo di una aperta, sicura, stabile e globale “supply chine”.
- Il secondo avrebbe dovuto impedire che sistemi di ICT potessero danneggiare le strutture ICT critiche di altri Stati o operare il furto di dati importanti.
- Il terzo punto avrebbe dovuto prevedere azioni concrete per prevenire o porre termine ad attività in violazione di dati personali o tendenti a favorire la sorveglianza di massa contro altri Stati o acquisire raccolte non autorizzate di dati personali relative a cittadini di altri Stati.
- Il quarto punto avrebbe dovuto imporre alle compagnie che operano nel settore di rispettare le leggi degli Stati ospitanti e di rinunciare a costringere gli operatori di altri Stati a conservare i dati generati e ottenuti al di fuori dei propri territori.
- Il quinto punto riguardava l’impegno a rispettare la sovranità, la giurisdizione e le regole di governance dei dati di altri Stati, evitando di chiedere a operatori commerciali o a singoli di fornire dati collocati in altri Stati senza il permesso di questi.
- Il sesto punto avrebbe dovuto affermare il principio che per ottenere dati conservati o prodotti all’estero è necessario avvalersi di una assistenza legale appropriata o operare attraverso canali adeguati.
- Il settimo punto avrebbe dovuto preveder il divieto di installare backdoor services nei prodotti industriali o nei servizi di comunicazione al fine di accedere illegalmente ai dati.
- L’ottavo e ultimo punto avrebbe dovuto affermare il divieto per le compagnie ICT di cercare di sviluppare sistemi illegali per trarre vantaggio dalla dipendenza dei consumatori rispetto ai loro prodotti.
Come si vede, e come molti osservatori hanno sottolineato, questi otto punti contengono un misto di proposte, alcune incentrate sul tutelarsi da eventuali attività poste in essere dalla Cina e altre relative invece ai comportamenti di imprese o altri soggetti dell’ecosistema cinese.
Ovviamente, l’iniziativa del Ministro Wang non ha avuto per ora un significativo successo ma essa appare singolarmente in raccordo col contenuto di molte delle norme a tutela dei dati adottate dalla Cina in questi anni.
Dunque è ragionevole ritenere che l’apparato regolatorio posto in essere dal governo cinese, e sul quale ci si è ampiamente soffermati, sia allo stesso tempo un muro eretto a tutela della sovranità digitale cinese e dei dati prodotti e conservati in Cina e una testimonianza anticipatrice della disponibilità cinese a perseguire anche una nuova regolazione globale.
Conclusioni
Allo stato mancano elementi per poter prevedere quali saranno gli sviluppi futuri anche perché l’Unione Europea è chiaramente impegnata oggi nello sforzo di sviluppare il proprio sistema regolatorio in modo da favorire e tutelare la capacità europea di essere un global player mentre il sistema USA, anche attraverso le dichiarazioni prima del Presidente Trump e ora del Presidente Biden, appare impegnato più a contenere l’espansionismo tecnologico cinese che a costruire davvero un quadro regolatorio globale che consenta uno sviluppo rapido, positivo e soprattutto pacifico della Digital Age.
Solo i prossimi anni potranno consentirci di capire meglio dove il mondo stia andando e, tal fine, certamente essenziali saranno le scelte dell’Unione Europea e dei suoi popoli, compresi gli elettori francesi e tedeschi che avranno una parola decisiva alle prossime elezioni per confermare o meno la CDU tedesca e il neo-gaullismo francese, due protagonisti essenziali della svolta UE che è alla base della stessa nomina dell’attuale Commissione europea.
Tuttavia cercare di approfondire al meglio possibile il contesto reale nel quale si colloca e si sviluppa oggi il tema della Data protection è essenziale, sia perché esso è un elemento della competizione economica nella Digital Age sia perché, che piaccia o meno a noi europei, la data protection pur legata per la UE prima di tutto alla tutela di un diritto fondamentale dei cittadini europei, è sempre di più un elemento essenziale che caratterizza e caratterizzerà ogni giorno di più le società umane e le loro relazioni nella Digital Age.
Anche per questo, pare a chi scrive, era ed è necessario non rassegnarci a visioni stereotipate del mondo dei dati e, meno che mai, a visioni stereotipate delle caratteristiche dei tre grandi ecosistemi che si stanno affermando nel mondo: quello che fa capo all’economia USA e alle Bich tech americane, quello cinese e quello europeo. Che poi in questo quadro sempre più rilevante sia il ruolo della Cybersicurezza e in generale della sicurezza delle reti di trasmissione è cosa che emerge con grande nettezza anche dall’evoluzione regolatorio in atto in Cina. Si comprende bene, dunque, perché tanto più in un contesto di mercato globale diventi essenziale nella Digital Age esercitare la massima cautela rispetto alle tecnologie digitali offerte o utilizzate nei diversi ecosistemi, come appunto il costante richiamo USA agli europei rispetto alle tecnologie cinesi dimostra con la massima evidenza.
In sostanza chi, come l’Unione Europea, mostra di credere e costantemente ribadisce che il Mercato Unico è una condizione essenziale di sviluppo economico e mostra con tutte le sue iniziative di voler competere su un mercato globale che si vuole contendibile e regolato dalla libertà di concorrenza, non può che essere estremamente interessato a promuovere un mercato unico digitale globale, operando in ogni modo alla costruzione di una Data Protection globale che interessi tutto il mercato digitale e tutti i Paesi e i sistemi economici che ne sono protagonisti. Allo stesso tempo, e in egual modo, i soggetti indicati, fra i quali certamente anche la UE, non possono non essere massimamente interessati anche una regolazione globale e condivisa delle reti di comunicazione ICT che assicuri la libera circolazione dei dati nel mondo digitale.
Già negli anni passati, in particolare durante la Conferenza Internazionale sulle Telecomunicazioni tenutasi a Dubai nel 2018 ma organizzata dalla ITU fin dal 2012 si è cercato di fare passi avanti significativi in questa direzione. Sembra giunto il momento di riprendere questa via con maggiore lena e interesse anche in considerazione dell’impegno in atto in UE per il rafforzamento della protezione dei dati nella Digital Age, testimoniata dalla presentazione da parte della commissione von der Leyen del Digital Services Act package, destinato ad essere discusso e, si spera, approvato almeno sotto la Presidenza francese dell’Unione nel corso del 2022.
L’augurio è dunque che le riflessioni qui svolte siano utili anche a questo scopo e possano soprattutto costituire un segnale importante agli operatori italiani ed europei affinché essi, sia come utilizzatori che come fornitori di servizi digitali, non si facciano cogliere impreparati dalla rapidissima evoluzione della competizione globale. La Data Protection della Digital Age non è più, né mai più sarà soprattutto un tema puramente regolatorio. Al contrario sempre più coinvolgerà direttamente la tecnologia digitale e l’economia reale, soprattutto nel quadro della competizione globale.
Non essere in grado di capire questo contesto e di operare attivamente per pervenire a una regolazione globale significherebbe per la UE vedere molto ridotte le sue possibilità di competere positivamente con gli altri due grandi ecosistemi digitali planetari, uno interamente governato e sostenuto dallo Stato, secondo il modello cinese, e l’altro rimesso al mercato e alla business community, con la costante tutela della concorrenza e del rispetto degli interessi vitali per le sicurezza interna e internazionale dello Stato, secondo il modello americano.
