La nuova legge, la cosiddetta Gdpr cinese, riguarda in particolar modo le aziende che operano sulle piattaforme online. Necessario investire su adeguamenti normativi e formazione del personale.
La nuova legge sulla tutela dei dati personali in Cina (il cosiddetto "Gdpr cinese), ha la finalità di garantire la sicurezza dei dati personali in Cina. I principi su cui si fonda sono la sicurezza nazionale e la tutela del diritto alla riservatezza. I principali destinatari di questa nuova legge sono le big tech cinesi (Alibaba, Baidu, Tencent) i cui modelli di business hanno a oggi comportato la raccolta e trattamento di dati personali di centinaia di milioni di individui senza sufficienti garanzie di trasparenza circa il loro utilizzo. Non solo. Tutte le imprese che operano sulle piattaforme online, a partire dalle aziende di e-commerce, sono tenute ad adeguarsi a questa nuova legge.
È uno sforzo normativo importante che vede impegnate 12 autorità amministrative, tra cui anche l'Autorità per il ciberspazio, l'amministrazione per la Regolamentazione del mercato, il Ministero dell'Industria e della Tecnologia informatica, il Ministero degli Interni. Tra queste autorità un ruolo di spicco spetta all'Autorità per il Ciberspazio e alla sua entità gemella, l'Ufficio della commissione centrale per il ciberspazio. La prima è un'autorità governativa, espressione del governo centrale, la seconda invece è una commissione del Partito Comunista, a indicazione di come tendano a confluire in una medesima entità poteri politici di direzione e controllo, nonché poteri amministrativi di attuazione ed esecuzione della nuova normativa sulla privacy e, più in generale, sulla sicurezza dei dati.
In caso di violazione, i poteri sanzionatori sono molto ampi e comprendono sia sanzioni amministrative (sanzioni pecuniarie, revoca delle licenze di commercio) sia, nei casi più gravi di violazione della pubblica sicurezza, la responsabilità penale. I marketplace / piattaforme online possono inoltre escludere quegli operatori che abbiano commesso gravi violazioni della normativa sulla privacy.
Sia le piattaforme online sia gli operatori su queste piattaforme saranno inoltre maggiormente esposti al rischio di richieste di risarcimento dei danni da parte di consumatori che contestino violazioni circa la raccolta e trattamento dei loro dati personali. La nuova legge favorisce i consumatori in questi contenziosi, prevedendo che l'onere della prova sia a carico della piattaforma online e, in generale, dell'operatore economico, che dovranno dimostrare di aver operato in conformità alla legge. Prevede inoltre che il giudice possa anche determinare il danno subito dal consumatore "sulla base delle circostanze concrete", quando risulti difficile provare l'ammontare delle perdite subite dal consumatore, oppure l'entità dei profitti illeciti da parte dell'operatore economico.
I punti focali della nuova normativa riguardano la necessità del consenso, espresso e informato, da parte dell'individuo, la disciplina speciale per la raccolta e trattamento dei dati personali sensibili e il trasferimento dei dati personali sia all'interno della Cina sia transfrontaliero. Anche le aziende italiane che operano in Cina dovranno tener conto della nuova normativa. Pensiamo ad esempio a chi opera nel settore dell'e-commerce e del retail quando trasmette dati personali dei clienti (nome, indirizzo email, numero di telefono, indirizzo per recapito della merce) alla casa madre in Italia, oppure, più banalmente, alla controllata cinese che invii in Italia i nomi e altri dati personali dei suoi dipendenti.
C'è una particolare esposizione al rischio per i brand del lusso che potrebbero trovarsi a raccogliere dati personali di funzionari o persone che ricoprono cariche pubbliche. Gli operatori dell'ecommerce e del retail potranno autorizzare ai fini di marketing solo i dati personali che hanno raccolto col consenso dell'individuo interessato, che deve anche aver espressamente acconsentito al loro utilizzo al fine di una pubblicità mirata nei suoi confronti (consenso che potrà revocare in qualsiasi momento). Non potranno essere acquistati dati personali da altri operatori, senza il consenso informato da parte dell'individuo interessato.
Il creare profili dei consumatori sarà più difficile (se non impossibile) perché questo viene a scontrarsi con la necessità del consenso informato da parte degli individui e anche con il principio che le informazioni personali vadano raccolte solo nella misura strettamente necessaria. Il trasferimento di dati personali all'estero appare particolarmente delicato. Non soltanto è necessario il consenso espresso da parte dell'individuo, ma è anche necessaria una preventiva approvazione da parte dell'Autorità del Ciberspazio, o da altro soggetto delegato da questa autorità. In alternativa all'approvazione, le parti potranno adottare un modello contrattuale per il trasferimento dei dati all'estero che garantisca un trattamento dei dati conforme alla normativa ed al consenso dell'individuo.
Per il momento la disciplina del trasferimento dei dati personali all'estero è ancora incompleta, mancando la normativa di attuazione che riguarda la preventiva approvazione da parte dell'Autorità per la Cybersecurity oppure l'indicazione di quale sarà il modello di contratto da adottarsi per il trasferimento transfrontaliero dei dati. Sarà comunque anche consigliabile per le società assicurarsi che il soggetto ricevente i dati all'estero sia stato certificato al trattamento dei dati personali in sicurezza. Regolamenti di attuazione dovranno essere pubblicati prima del primo novembre 2021, data di entrata in vigore della nuova legge.
Le aziende italiane, e in generale europee, sono in qualche modo avvantaggiate perché già operano nel contesto del Gdpr e quindi hanno già strumenti e sensibilità per affrontare queste novità normative. Inoltre, come soggetti riceventi dai dalla Cina, possono dimostrare di operare in un ordinamento giuridico che ha standard di tutela della privacy non inferiori a quelli ora adottati in Cina. Per le aziende si prospetta di dover affrontare un nuovo contesto normativo, molto sofisticato, e presidiato da svariate autorità amministrative con funzione di supervisione, controllo e con poteri sanzionatori. La sfida, pertanto, soprattutto per le aziende che operano nell'ecommerce e nel retail, è quella di essere in regola con la nuova normativa e, allo stesso tempo, rimanere competitive sul mercato.
Questo comporterà un incremento delle riscorse (e dei costi) da dedicarsi alla compliance per la privacy. Comporterà probabilmente anche una ristrutturazione della propria presenza in Cina per ridurre la necessità del trasferimento di dati all'estero, nonché ridurre l'esposizione al rischio. Le società straniere potranno valutare di spostare le attività di gestione e trattamento dei dati in Cina e di stabilire una presenza commerciale in Cina, se già non l'avessero. Da non escludere anche ulteriori ristrutturazioni dirette a localizzare ulteriormente le attività in Cina, per esempio trasferendole a una società a capitale domestico.
Le società in Cina dovranno anche aver cura della formazione dei dipendenti che sono a contatto con dati personali. La nuova legge vieta, per esempio, il trasferimento di dati ad autorità straniere, salvo preventiva approvazione da parte delle competenti autorità cinesi. I dipendenti pertanto dovranno essere consapevoli che non possono trasferire dati personali all'estero perché, per esempio, devono essere utilizzati come prove avanti a un giudice oppure in un arbitrato. Il consenso del dipendente (o altro soggetto interessato) non è in questo caso sufficiente.
Come approccio pratico, considerate le affinità tra la normativa europea sulla privacy (Gdpr) e quella cinese, ha senso pensare di "localizzare" regolamenti e policy aziendali già adottati in Italia anche in Cina. Tra le differenze di cui tener conto, anche gli ampi poteri di ispezione delle autorità amministrative cinesi e pertanto la necessità di predisporre e conservare, per almeno tre anni, tutta la documentazione necessaria a provare l'uso corretto dei dati personali.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Carlo Geremia