Privacy: la Cina pubblica la Bozza di clausole contrattuali tipo. Cosa cambia?

Il 30 Giugno scorso la Cyberspace Administration of China (CAC) ha pubblicato – per consultazione pubblica – la bozza di Contratto Standard per il trasferimento transfrontaliero di dati personali, che integra i requisiti previsti dalla Personal Information Protection Law (PIPL), la legge cinese sulla protezione delle informazioni personali in vigore dal 30 novembre 2021.

Per approfondire | La nuova PIPL cinese si ispira al GDPR: gli obblighi per le imprese europee

 

Il Contratto Standard

In parallelo a quanto previsto dal GDPR con le Clausole Contrattuali Tipo (art. 46), il Contratto Standard rappresenta una delle garanzie tramite cui il Gestore di informazioni personali (ovvero l’equivalente del Titolare del trattamento) può assicurare la legittimità del trasferimento di dati al di fuori del territorio cinese. La “Bozza di Disposizioni sul Contratto Standard per il trasferimento transfrontaliero di informazioni personali” pubblicata dal CAC il 30 giugno resterà in consultazione pubblica fino al 29 luglio 2022.  Il legislatore, tuttavia, come per la PIPL, non ha sancito un periodo transitorio per conformarsi alle clausole del Contratto Standard, che, quindi, una volta finalizzato, dovrà essere implementato non appena possibile dagli operatori.

Ecco i punti salienti previsti nella Bozza di disposizioni:

  • In base alla PIPL, alla Bozza di Disposizioni e ad altre due progetti di legge (non ancora approvati), se l’esportatore è un operatore di infrastrutture critiche di informazioni, o se tratta informazioni personali di oltre 1 milione di individui, o se deve trasferire all’estero le informazioni personali di oltre 100 mila individui o i dati sensibili di oltre 10 mila individui in un determinato periodo di tempo, per effettuare il trasferimento deve necessariamente superare la valutazione di sicurezza da parte del CAC. In altri termini, per questa tipologia di operatori, la stipulazione di un contratto standard non sarà sufficiente a legittimare il trasferimento transfrontaliero;
  • Per tutti gli altri soggetti esportatori di dati, il Contratto Standard sarà valido sia per i trasferimenti di dati infragruppo sia per i trasferimenti di dati a terze parti;
  • La gran parte delle clausole della Bozza di Contratto Standard riafferma quanto disciplinato dalla PIPL in merito a obblighi e responsabilità di esportatori e destinatari di dati;
  • La Bozza di Contratto Standard consente una certa flessibilità ai firmatari. Ad esempio, qualora tra le parti sorga una controversia in relazione al contratto, queste possono affidarne la risoluzione a una sede arbitrale straniera, purché si trovi in uno stato firmatario della Convenzione di New York. Inoltre, le parti possono integrare il contratto standard con clausole aggiuntive, a condizione che non entrino in conflitto con le disposizioni standard;
  • Prima di trasferire i dati, l’esportatore è tenuto a effettuare una valutazione d’impatto del trasferimento sulla protezione delle informazioni personali. Tale valutazione del rischio, in particolare, dovrà considerare l’impatto delle leggi e delle politiche in materia di protezione dati dello Stato di destinazione sull’applicabilità del contratto standard.
  • Il contratto standard stipulato e la relazione sulla valutazione d’impatto del trasferimento devono essere presentate agli uffici periferici del CAC entro 10 giorni dall’entrata in vigore. Inoltre, una copia del contratto standard dovrebbe essere fornita anche agli interessati su richiesta.
  • Resta da chiarire, invece, se e in che modo si applichi il Contratto Standard quando l’esportatore di dati è una parte incaricata (ovvero l’equivalente del Responsabile del trattamento) e l’assegnazione di obblighi e responsabilità tra quest’ultimo e il relativo destinatario estero.

I professionisti della digitalizzazione documentale e della privacy

Master Universitario di 1° livello in elearning

Organizzato da Unitelma Sapienza

Destinato ai dirigenti, funzionari e operatori di imprese e pubbliche amministrazioni, nonché liberi professionisti, neolaureati e interessati alla materia.

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo.

Certificazione di Sicurezza del trasferimento

Alternativamente alla stipulazione di un Contratto Standard, il Gestore di informazioni personali ha altre due opzioni per trasferire legittimamente dati all’estero, ovvero:

  1. superare la valutazione di sicurezza da parte del CAC;
  2. ottenere una Certificazione di protezione delle informazioni personali da un ente terzo designato dal CAC.

A tal proposito, l’Autorità degli Standard Nazionali cinese ha recentemente pubblicato la “Specifica per la Certificazione di Sicurezza del Trattamento Trasfrontaliero delle informaziomi personali”, un documento tecnico non vincolante finalizzato a fornire indicazioni pratiche su come conseguire la Certificazione di Sicurezza.

Eccone i punti salienti:

  • La Specifica si applica al trasferimento transfrontaliero di informazioni personali tra le succursali/filiali di una multinazionale e al trattamento effettuato all’estero soggetto all’applicazione extraterritoriale della PIPL. Ciò significa che la certificazione potrebbe non essere applicabile agli operatori stabiliti in Cina che trasferiscono informazioni personali a parti non affiliate situate al di fuori della Cina.
  • La filiale del gruppo che richiede la certificazione deve garantire alle informazioni personali trattate all’estero un livello di protezione equivalente a quello previsto dalle leggi e dai regolamenti sulla protezione dei dati in Cina.
  • La certificazione di sicurezza verrà garantita purché sussistano le seguenti condizioni: i) l’esistenza di un accordo vincolante tra l’esportatore e il destinatario dei dati; ii) la nomina di un responsabile della protezione delle informazioni personali designato sia dall’esportatore che dal destinatario dei dati; iii) il rispetto di una serie di regole comuni sul trattamento transfrontaliero dei dati da parte sia dell’esportatore che del destinatario dei dati; iv) l’esecuzione di una valutazione d’impatto sulla protezione dei dati prima del trasferimento; v) il rispetto dei diritti dell’interessato.

 

Conclusioni

In base allo stato dell’arte, la stipulazione di un Contratto Standard sembra la soluzione meno complicata e con un ambito di applicazione più ampio rispetto alla Certificazione di Sicurezza. Tuttavia, sia la Bozza di Disposizioni sul Contratto Standard sia la Specifica sulla Certificazione di Sicurezza sono in attesa di perfezionamento, pertanto, gli operatori di mercato che dovranno conformarsi alla normativa cinese dovranno valutare attentamente pro e contro delle varie opzioni per capire quale sia più conveniente, in base alle proprie esigenze aziendali e ai costi di conformità.