La nuova PIPL cinese si ispira al GDPR: gli obblighi per le imprese europee

Dopo la Cybersecurity Law e la Data Security Law, in Cina dal 1° novembre è in vigore anche la “Personal Information Protection Law”, ovvero la nuova normativa in materia di protezione dati personali. La “PIPL”, approvata lo scorso agosto dall’Assemblea del popolo cinese, presenta numerose analogie con il Regolamento generale sulla protezione dei dati dell’Unione Europea 679/2016, tra cui la sua portata extraterritoriale, le limitazioni sul trasferimento dei dati, gli obblighi di conformità e le sanzioni in caso di non conformità.

 

Principi generali

 Già dal primo Capitolo (“Principi Generali”) si comprende come il GDPR sia stato un termine di riferimento importante per il governo cinese nell’enunciare i principi che devono ispirare l’applicazione e interpretazione della legge, come l’art. 5 (“Legalità, correttezza e buona fede”); l’art. 6 (“Limitazione delle finalità e minimizzazione dei dati”); l’art. 8 (“Accuratezza”) e l’art. 9 (“Responsabilità e sicurezza”) che sembrano replicare in buona sostanza quanto previsto dall’art. 5 del GDPR sui “Principi applicabili al trattamento di dati personali”.

 

Ambito di applicazione

Dal punto di vista pratico, l’aspetto più rilevante della nuova normativa è sicuramente l’ambito di applicazione territoriale. Similmente a quanto previsto dal GDPR, la PIPL prevede l’applicazione alle attività di trattamento di dati personali relative a persone fisiche svolte all’interno della Cina. Per questo motivo, tutte le società europee e internazionali che intendono trattare dati personali in territorio cinese si dovranno adeguare in tempi brevi alle nuove disposizioni.

Inoltre, la PIPL, così come il GDPR, ha una portata extraterritoriale: ne consegue che anche le organizzazioni che operano al di fuori della Cina dovranno conformarsi ove vogliano fornire prodotti e/o servizi a persone fisiche in territorio cinese o quando la finalità del trattamento sia quella di analizzare il comportamento degli utenti.

 

Liceità del trattamento

Anche la PIPL prevede che il “Gestore” delle informazioni (ossia l’equivalente del Titolare del trattamento) possa trattare dati personali solo in virtù di talune basi giuridiche, ed in particolare qualora:

  • vi sia il consenso dell’individuo (che, ai sensi dell’art. 14, dev’essere libero, specifico, informato e revocabile);
  • vi sia necessità di conclusione o esecuzione di un contratto;
  • vi sia necessità di rispondere ad un’emergenza sanitaria (pubblica) o per proteggere, in caso di emergenza, la vita, la salute o la proprietà di una persona fisica;
  • il trattamento sia necessario per motivi di cronaca, di natura politica, o comunque per uno scopo di interesse pubblico;
  • il trattamento sia richiesto da leggi o regolamenti amministrativi cinesi.

Inoltre, salvo il caso in cui l’attività di trattamento debba rimanere riservata o comunque non divulgata in base a leggi o regolamenti nazionali, in via preliminare, il “gestore” ha l’obbligo di informare – in modo esplicito, trasparente e accurato – il soggetto interessato in merito ai dettagli del trattamento.

I professionisti della digitalizzazione documentale e della privacy

Master Universitario di 1° livello in elearning

Organizzato da Unitelma Sapienza

Destinato ai dirigenti, funzionari e operatori di imprese e pubbliche amministrazioni, nonché liberi professionisti, neolaureati e interessati alla materia.

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo.

SCOPRI IL PROGRAMMA

Trasferimento dei dati all’estero

 Un altro aspetto di grande interesse per le imprese internazionali ed europee è quello dedicato alle regole che disciplinano il trasferimento dei dati all’estero. Il legislatore cinese, con l’intento di contrastare i grandi colossi del settore tecnologico esteri, ha stabilito requisiti addirittura più stringenti rispetto a quelli previsti dal GDPR, ossia:

  • il superamento di una valutazione di sicurezza da parte del Cyberspace Administration of China (CAC);
  • l’ottenimento di una certificazione da parte di un ente terzo che attesti la conformità con le disposizioni CAC in materia di protezione dati;
  • la conclusione di un contratto con il destinatario estero che disciplini obblighi e diritti delle parti e sia conforme allo standard contrattuale elaborato dal CAC (assimilabile alle Clausole Contrattuali Standard approvate dalla Commissione europea);
  • altre condizioni debitamente previste dalle leggi e dai regolamenti amministrativi del CAC.

Inoltre, la società che voglia trasferire dati al di fuori della Cina dovrà fornire ai soggetti interessati una serie di informazioni (al pari dell’informativa ex artt. 13 e 14 del GDPR) relative al trattamento (dati di contatto del destinatario, finalità e mezzi del trattamento, tipologia di dati trattati, procedure previste per l’esercizio dei diritti) e ottenere da questi un apposito consenso, distinto e separato; adottare le misure di sicurezza necessarie affinché i destinatari all’estero garantiscano lo stesso livello di protezione richiesto dalla PIPL; eseguire una valutazione d’impatto sul trasferimento (qualora ad esempio siano trattati categorie particolari di dati  o in caso di processo decisionale automatizzato).

 

Sanzioni

In caso di violazione della normativa predetta, le sanzioni possono ammontare fino a 6,7 milioni di euro o fino al 5 % del fatturato annuale (anche se non viene specificato qualora si tratti di ricavi globali o generati in Cina), oltre alla revoca della licenza professionale o commerciale: le autorità governative, infatti, possono decidere di inserire le aziende in una black-list per far sospendere o cessare la loro attività in Cina. E la differenza del GDPR, le sanzioni possono essere irrogate anche nei confronti delle persone fisiche che ricoprono posizioni apicali all’interno della società responsabile della violazione; secondo la PIPL, infatti, tali figure dirigenziali possono essere multate fino ad un massimo di 135 mila euro, oltre alla possibile interdizione dagli uffici.

 

Conclusioni

Appare evidente, pertanto, che la PIPL avrà un impatto impegnativo in termini di compliance per le organizzazioni straniere che operano o hanno intenzione di operare in Cina, le quali dovranno effettuare, innanzitutto, una valutazione dei rischi di conformità, aggiornare le policy interne ed i vari contratti avente ad oggetto il trattamento dei dati e introdurre le misure di sicurezza necessarie ed adeguate per evitare di incorrere in sanzioni.

Tuttavia, occorre sottolineare che il presupposto sulla base del quale una potenza mondiale come la Cina (che sinora non ha propriamente considerato la privacy una questione fondamentale) abbia adottato una normativa in materia di protezione dei dati personali è da rinvenirsi nell’interesse pubblico e nella sicurezza nazionale.  Aspetti quest’ultimi ritenuti, dalle disposizioni esaminate, prevalenti rispetto alla salvaguardia dei diritti e degli interessi dell’individuo.