La Cina, successivamente alla Cybersecurity Law emanata nel 2017 e alla Data Security Law entrata in vigore il primo settembre del 2021, ha definito la cornice normativa per l’utilizzo e la condivisione di informazioni la cosiddetta Personal Information Protection Law (PIPL), entrata in vigore il 1° novembre scorso.
PIPL e GDPR, quali analogie
Tale normativa presenta numerose similitudini con il GDPR europeo essendo evidente che quest’ultimo ha costituito un termine di riferimento importante per il governo cinese nell’elaborare la nuova normativa.
La PIPL si prefigge di: proteggere i diritti e gli interessi degli individui; regolare le attività di trattamento delle informazioni personali; facilitare l’uso ragionevole delle informazioni personali.
È doveroso evidenziare come la PIPL sia più stringente rispetto al GDPR sul trasferimento di dati all’estero, confermando la linea di Pechino contro i colossi del digitale e non solo. Inoltre, le organizzazioni che hanno attività in Cina, nonostante le loro attività di trattamento dei dati si svolgano al di fuori del territorio cinese, dovranno subire conseguenze pesanti in caso di mancata conformità, quali: sanzioni pecuniarie cospicue e l’inserimento delle aziende in una lista nera del Governo cinese. Pertanto, le organizzazioni dovranno essere conformi quanto prima alla nuova normativa, dato che in Cina quando una legge entra in vigore viene subito applicata, senza attendere, come da noi, capillari circolari e simili cavilli dilatori.
PIPL: come si articola
Il PIPL è composto da 8 capitoli contenenti 74 articoli che riflettono molto la struttura del GDPR come si evince dalla figura di seguito riportata.
(fonte: www.JDUSPRA.com).
Definizione dei termini chiave
- “Informazioni personali” e “trattamento delle informazioni personali”: sono definite in modo simile nella PIPL e nel GDPR.
- “Informazioni personali sensibili”: sono definite ai sensi del PIPL come “informazioni personali che, una volta trapelate o utilizzate illegalmente, possono facilmente violare la dignità di una persona fisica o causare danni alla sicurezza personale e alla sicurezza della proprietà, come informazioni di identificazione biometrica, credenze religiose, status appositamente designato, informazioni sanitarie mediche, conti finanziari, informazioni sulla posizione delle persone, nonché informazioni personali di minori di età inferiore ai 14 anni” (rif. articolo 28).
- “Anonimizzazione”: fa riferimento al processo attraverso il quale le informazioni personali non possono essere utilizzate per identificare persone fisiche specifiche e le informazioni personali non possono essere ripristinate dopo l’elaborazione (rif. articoli 4 e 73), dal momento che le informazioni anonime non sono considerate informazioni personali ai sensi della PIPL.
- “Entità di trattamento delle informazioni personali”: viene utilizzato per riferirsi a “organizzazione o individuo che determina in modo indipendente le finalità e i mezzi per il trattamento delle informazioni personali” (rif. articolo 73). Concetto assimilabile al concetto di “titolare del trattamento” espresso nel GDPR.
- “Parte incaricata”: rimanda al “Responsabile del trattamento dei dati” come definito ai sensi del GDPR.
PIPL, quale ambito di applicazione?
Ai sensi dell’articolo 3, la PIPL si applica alle persone fisiche e giuridiche che trattano informazioni personali all’interno della Cina. Inoltre, la PIPL – così come avviene ai sensi del GDPR- ha una portata extraterritoriale, a condizione che lo scopo del trattamento sia:
- fornire prodotti o servizi a individui in Cina;
- “analizzare” o “valutare” il comportamento degli individui in Cina;
- per altri scopi specificati da leggi e regolamenti.
Di conseguenza, la nuova legge cinese non sarà solamente applicabile alle imprese cinesi ma anche alle società internazionali che trattano i dati personali di cittadini cinesi.
Base giuridica del trattamento dei dati
La nuova PIPL richiede alle organizzazioni di avere una base legale per elaborare le informazioni personali ma, a differenza del GDPR, non definisce “interessi legittimi” come base legale per il trattamento.
Il “consenso” (in linea con quanto stabilito dal GDPR) deve essere informato, liberamente dato, dimostrato da una chiara azione dell’individuo e può essere successivamente ritirato (rif. articoli 14 e 15).
La PIPL richiede un consenso “separato” per determinate attività di trattamento, ovvero, nel caso di una società di elaborazione dati (rif. Articoli 23,25,29 e 39):
- condivide informazioni personali con altre società di elaborazione;
- divulga pubblicamente informazioni personali;
- elabora informazioni personali sensibili;
- trasferisce informazioni personali all’estero.
In questo caso la nuova legge in termini di tutela della privacy dell’individuo prevede che le persone debbano poter sapere quali informazioni personali vengono raccolte, possano non concedere l’utilizzo dei dati, e possano richiedere correzioni o cancellazioni dai database.
Informazioni personali: quali diritti
Rispetto al GDPR, la nuova normativa cinese non è particolarmente “precisa” in termini sia di “diritti” riferiti alle “informazioni personali” sia di restrizioni o esenzioni e richiede alle organizzazioni di rispondere “tempestivamente” alle richieste senza tuttavia indicare la tempistica specifica per rispondere.
In termini di tipologia di diritti sulle informazioni personali il GDPR e la PIPL sono di fatto allineati, anche se, al momento non risulta ancora chiaro come tali diritti espressi nella PIPL potrebbero essere interpretati nella pratica.
Inoltre, i singoli individui – qualora le società rifiutassero le richieste di esercitare i loro diritti (rif. articolo 50) avrebbero il diritto di intentare azioni legali contro di esse.
Di seguito una tabella comparativa dei diritti ai sensi del PIPL vs GDPR.
(fonte https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr/).
Trasferimento di informazioni personali al di fuori dei confini nazionali
La PIPL, rispetto al GDPR, prevede alcuni requisiti aggiuntivi per il caso in cui l’”esportatore” sia un operatore di infrastrutture critiche di informazione o elabori una quantità di informazioni personali tali da superare una soglia stabilita: a questo operatore è imposto di superare una valutazione di sicurezza e di una speciale autorizzazione da parte della Cyberspace Administration of China (CAC).
Inoltre, la PIPL richiede che le “entità di trattamento delle informazioni personali” offshore soggette alla legge stabiliscano un “ufficio dedicato” o nominino un “rappresentante designato” in Cina ai fini della protezione delle informazioni personali. In caso di trasferimento di informazioni personali a entità al di fuori della Cina, si deve altresì:
- fornire alle persone determinate informazioni specifiche sui trasferimenti e ottenere il consenso separato (rif. articolo 39);
- adottare le misure necessarie per garantire che i destinatari all’estero possano fornire lo stesso livello di protezione richiesto ai sensi della PIPL (rif. articolo 38);
- effettuare una valutazione d’impatto sulla protezione delle informazioni personali (rif. articolo 55).
I soggetti interessati dal trattamento possono scegliere tra una delle due opzioni, ovvero:
- ottenere una certificazione di protezione delle informazioni personali;
- concludere un accordo con il destinatario estero sulla base di un contratto standard che deve essere rilasciato dal CAC per i loro trasferimenti (rif. articolo 38). Ad oggi non è chiaro quando tale contratto standard sarà rilasciato dal CAC o in che misura sia da ritenere simile alle clausole contrattuali standard ai sensi del GDPR.
Quali sanzioni rispetto al GDPR
In caso di non conformità, il GDPR prevede una sanzione che può arrivare fino a 20 milioni di euro o al 4% delle entrate annuali globali. Mentre, nel caso della PIPL, la sanzione può ammontare sino a 6,7 milioni di euro, o al 5% dei ricavi annuali – senza specificare se si tratta di ricavi globali oppure solo di quelli generati in Cina – oltre alla revoca delle licenze commerciali o professionali. Altresì non risulterebbe stabilita una sanzione minima, il che fa presagire che le autorità regolatorie cinesi si arroghino un margine di discrezionalità.
Le sanzioni possono essere estese anche alle persone fisiche che occupano posizioni di responsabilità manageriale all’interno dell’organizzazione che si è resa colpevole di una violazione; in tal senso, infatti, la PIPL prevede che il personale responsabile o che occupi posizioni dirigenziali, possa essere multato per un massimo di circa 135mila euro oltre alla possibilità di essere interdetto dal ricoprire i ruoli di direttore, manager o responsabile della protezione dei dati per un determinato lasso di tempo.
Le società internazionali e la PIPL
Le aziende internazionali che operano in Cina devono capire non solo quanto contenuto nella PIPL, ma anche gli atteggiamenti delle autorità cinesi, delle imprese e dei consumatori riguardo all’uso e alla protezione dei dati e alle priorità di applicazione locale attraverso una valutazione dei rischi di conformità e di conseguenza sviluppare programmi di conformità al fine di non incorrere in sanzioni.
Le organizzazioni, in un’ottica di gestione dei rischi aziendali e di continuità del business, dovranno valutare altresì, la necessità o meno di:
- creare un data center locale;
- aggiornare il proprio contratto di trattamento dei dati con i propri responsabili del trattamento dei dati di terze parti;
- aggiornare le proprie politiche interne;
- aggiornare le politiche sulle informazioni personali per dipendenti o consumatori.
Inoltre, una conseguenza immediata che la PIPL avrà sulle aziende internazionali che gestiscono i dati dei cittadini cinesi è il dover stabilire al più presto, ai sensi della nuova normativa – ove non già presente – un’entità legale all’interno del paese. Tutto ciò comporterà un aumento dei costi di conformità e sarà soprattutto penalizzante per le PMI.
In termini di trasferimenti transfrontalieri di dati personali, le organizzazioni straniere si dovranno confrontare con le esistenti restrizioni basate sul volume sull’esportazione di dati personali dalla Cina e condurre la valutazione d’impatto sulla protezione dei dati (DPIA) prima del trasferimento transfrontaliero.
Conclusioni
A fronte di quanto delineato si consiglia, pertanto, alle organizzazioni internazionali operanti in China di conformarsi alla PIPL quanto prima e attuare una valutazione dei rischi di gestione dei dati – come è stato fatto per il GDPR –in base alla propria attività di impresa e, ove necessario, introdurre misure organizzative e di sicurezza per eliminare o ridurre tali rischi.
Non dimentichiamo che, per la Cina, la protezione delle informazioni personali non è solo una questione di garantire i diritti e gli interessi dei soggetti delle informazioni personali, ma anche un elemento essenziale della sicurezza nazionale e degli interessi pubblici. Da qui il rigore della legislazione e, di riflesso, i rischi che si corrono nell’eluderla.
