L’attività legislativa nella Repubblica Popolare Cinese in materia di protezione dei dati personali ha attratto su di sé il focus degli operatori oltre che un’attenzione a livello mediatico, in considerazione di severe prese di posizione in fase applicativa da parte delle autorità di controllo.
Nell’ultimo decennio la Cina si è affermata come player nella disciplina dell’economia digitale e di internet, approvando una serie di provvedimenti che sono stati, come nel caso della “E-commerce Law”, di significativa rilevanza nello scenario globale. La tendenza, iniziata nel 2016 con l’approvazione della “Cybersecurity Law” (“CSL”) è stata caratterizzata fin da subito da un approccio di c.d. “data sovereignty”, evidenziando in maniera sempre più preponderante il ruolo decisivo che viene attribuito dal Legislatore alle diverse sfaccettature, economiche e sociali, che derivano dal mercato digitale.
In questo contesto, l’attenzione alla sicurezza dei dati viene vista come un passo ulteriore del Legislatore cinese verso la creazione di un ambiente virtuale sempre più regolato.
Il ruolo predominante che l’utilizzo dei dati svolge all’interno dei modelli di business delle aziende da un lato, e la crescente attenzione dei cittadini cinesi riguardo l’utilizzo dei propri dati personali da parte delle aziende private, ha orientato il Legislatore verso l’approvazione della “Personal Information Protection Law” (PIPL) che entrerà in vigore il 1 novembre 2021 e che, per il proprio contenuto e impostazione, è stata assimilata all’europeo “General Data Protection Regulation” (GDPR).
Scopo e portata della nuova normativa
Lo scopo della Personal Information Protection Law è di regolare l’attività di trattamento dei dati raccolti all’interno del territorio cinese. I principali destinatari di questa legge sono le big tech cinesi (Alibaba, Baidu, Tencent), tuttavia impatta, nella propria applicazione, anche le società straniere che effettuano il trattamento, al di fuori del territorio cinese, i dati personali raccolti in Cina e relativi a persone fisiche cinesi.
Vengono introdotte una serie di definizioni fondamentali che consentono di circoscrivere la portata del provvedimento legislativo:
La classificazione dei dati è stata ulteriormente specificata dalla “State Administration for Market Regulation”, che ha operato la seguente suddivisione:
a) “Dati non sensibili” (e.g. informazioni pubbliche caricate dall’utente)
b) “Dati abbastanza sensibili” (e.g. le registrazioni delle chiamate con il centro clienti)
c) “Dati sensibili” (e.g. numeri di telefono, e-mail, storico delle transazioni)
d) “Dati molto sensibili” (e.g. numero della carta di identità, nomi utenti e password)
La localizzazione rientra adesso tra i dati sensibili ed in quanto tale sarà fortemente limitata riducendo notevolmente le ipotesi in cui i brand possono, per esempio, tracciare le visite offline ai negozi.
Consenso informato
Sulla base di dette definizioni si basa il principio del consenso informato per chi intende gestire dati all’utente: dovrà essere richiesto in relazione al tipo di dati raccolti e a dove questi verranno elaborati. La regola generale stabilita dalla PIPL è che il consenso dovrà essere sempre richiesto per il trattamento dei dati personali. Sono previste alcune eccezioni specificamente individuate dall’art. 13 [1].
Inoltre, il trattamento dei dati personali deve essere adeguatamente notificato in conformità con i requisiti applicabili e deve essere ottenuto consenso del soggetto identificato. Questi ha il diritto di conoscere e prendere decisioni sul trattamento delle loro informazioni personali e ha il diritto di ritirare o rifiutare il consenso.
Ulteriori obblighi sono posti in capo alle piattaforme di e-commerce:
Trasferimento transfrontaliero dei dati personali
Particolarmente gravosa è la disciplina del trasferimento dei dati personali raccolti all’interno della Cina all’esterno.
La PIPL richiede infatti, in ogni caso, un consenso ulteriore e separato nel caso in cui i soggetti responsabili del trattamento dei dati li condividano con altri soggetti, effettuino il trattamento dei dati personali per determinate finalità o li trasferiscano a soggetti all’estero (articolo 24, 30 e 39).
Viene inoltre previsto un oneroso procedimento che consente di richiedere il consenso al trasferimento dei dati all’estero. Nello specifico è necessario, in primo luogo, che la Cyberspace Administration rilasci un “Security Assessment”, ottenere, da un soggetto autorizzato, un “Personal Data Protection Certification” (i cui requisiti devono essere ancora pubblicati). È necessario inoltre assicurarsi che il soggetto che riceve ed elabora i dati all’estero soddisfi comunque i requisiti previsti dalla legge cinese e, infine, è necessario utilizzare un modello di contratto standard, che sarà pubblicato da parte della Cyberspace Administration of China.
La legge richiede inoltre di avere un “ufficio dedicato” o, quanto meno, un “rappresentate designato” responsabile sulle materie riguardanti la protezione dei dati personali (art. 53).
Questa stringente previsione, applicata alla lettera, comporta l’obbligo di compliance alla normativa a pressoché ogni azienda che abbia intenzione di vendere i propri prodotti o servizi in Cina. Poiché anche solo la raccolta del nome dell’acquirente ed i suoi contatti innescano i requisiti della PIPL.
Si segnala, infine, l’espresso divieto di fornire i dati personali alle autorità giudiziarie o amministrative straniere senza aver ottenuto il consenso da parte delle competenti autorità cinesi.
Sanzioni
Le sanzioni in caso di violazione della PIPL sono di natura amministrativa e variano in relazione alla serietà della violazione:
La violazione minore può comportare: un avviso e la confisca dei proventi illegali, una sanzione amministrativa fino ad 1 milione di RMB (130,000 EUR c.a.) e una sanzione al responsabile privacy da 10,000 a 100,000 RMB (1,300 – 13,000 EUR c.a.).
In caso di violazione grave le conseguenze possono essere: una richiesta di correzione e confisca dei proventi illegali, una sanzione amministrativa fino a 50 milioni RMB (6,500,000 EUR c.a.) o la confisca dei proventi fino al 5% dell’esercizio precedente, una multa al responsabile privacy da 100,000 a 1,000,000 RMB (13,000 – 130,000 EUR c.a.). L’onere della prova è sempre in capo al soggetto che raccoglie ed effettua il trattamento dei dati.
Conseguenze per le aziende italiane ed europee
Anche le aziende italiane ed europee che operano in Cina dovranno tenere conto della nuova normativa, con una particolare esposizione al rischio per i brand del lusso che potrebbero trovarsi a raccogliere dati personali di funzionari o persone che ricoprono cariche pubbliche.
Il requisito del consenso specifico e informato potrebbe portare ad un ridimensionamento della pubblicità mirata e la strategia di profilare i consumatori sarà più difficile.
Le difficoltà non riguardano solamente l’aspetto commerciale: le aziende dovranno adottare modelli e standard che garantiscano un trattamento dei dati in conformità con la nuova normativa e fondati sul consenso individuale, comportando maggiore attenzione agli aspetti di compliance ed alla privacy.
Nctm potrà assistere le società ad adeguarsi al nuovo contesto normativo cinese in materia di protezione dei dati personali. Siamo disponibili a discutere dell’attuale modello privacy e a fornire una proposta di assistenza specifica.
Il presente documento è aggiornato al mese di agosto 2021. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Carlo Geremia e Marco Cappa.
[1] a) Quando l’attività di elaborazione è necessaria per entrare o eseguire il contratto di cui il soggetto i cui dati vengono elaborati è una delle parti. b) Quanto l’elaborazione è necessaria per eseguire obblighi o responsabilità legali. c) Quando è necessaria per ragioni di emergenza di saluta pubblica. d) Quando riguarda informazioni personali già rese pubbliche. e) Per finalità giornalistiche. f) Per altre finalità previste dalla legge.