La tua ricerca

    13.09.2021

    Memorandum sul “GDPR Cinese” – Personal Data Protection Law. Le principali novità e conseguenze


    L’attività legislativa nella Repubblica Popolare Cinese in materia di protezione dei dati personali ha attratto su di sé il focus degli operatori oltre che un’attenzione a livello mediatico, in considerazione di severe prese di posizione in fase applicativa da parte delle autorità di controllo.

     

    Nell’ultimo decennio la Cina si è affermata come player nella disciplina dell’economia digitale e di internet, approvando una serie di provvedimenti che sono stati, come nel caso della “E-commerce Law”, di significativa rilevanza nello scenario globale. La tendenza, iniziata nel 2016 con l’approvazione della “Cybersecurity Law” (“CSL”) è stata caratterizzata fin da subito da un approccio di c.d. “data sovereignty”, evidenziando in maniera sempre più preponderante il ruolo decisivo che viene attribuito dal Legislatore alle diverse sfaccettature, economiche e sociali, che derivano dal mercato digitale.

     

    In questo contesto, l’attenzione alla sicurezza dei dati viene vista come un passo ulteriore del Legislatore cinese verso la creazione di un ambiente virtuale sempre più regolato.

     

    Il ruolo predominante che l’utilizzo dei dati svolge all’interno dei modelli di business delle aziende da un lato, e la crescente attenzione dei cittadini cinesi riguardo l’utilizzo dei propri dati personali da parte delle aziende private, ha orientato il Legislatore verso l’approvazione della “Personal Information Protection Law” (PIPL) che entrerà in vigore il 1 novembre 2021 e che, per il proprio contenuto e impostazione, è stata assimilata all’europeo “General Data Protection Regulation” (GDPR).

     

     

     

    Scopo e portata della nuova normativa

     

    Lo scopo della Personal Information Protection Law è di regolare l’attività di trattamento dei dati raccolti all’interno del territorio cinese. I principali destinatari di questa legge sono le big tech cinesi (Alibaba, Baidu, Tencent), tuttavia impatta, nella propria applicazione, anche le società straniere che effettuano il trattamento, al di fuori del territorio cinese, i dati personali raccolti in Cina e relativi a persone fisiche cinesi.

     

    Vengono introdotte una serie di definizioni fondamentali che consentono di circoscrivere la portata del provvedimento legislativo:

    1. La definizione di “personal information” è la seguente: “tutte le tipologie di informazione relative a persone naturali identificate o identificabili”, specificando che debbano essere “registrate con mezzi elettronici” e che le informazioni elaborate in maniera anonima non ricadono in questa categoria;
    2. Diversa e separata è invece la definizione di “informazioni personali sensibili” descritte come “quelle informazioni personali che possono arrecare danno alla dignità personale di qualsiasi persona fisica o danno alla sua sicurezza personale o patrimoniale una volta divulgate o utilizzate illegalmente”;
    3. Non meno importante è la figura del “gestore di informazioni personali”, in qualità di soggetto principale degli obblighi della legge. Figura che può essere assimilata al titolare del trattamento nel nostro GDPR. Questa definizione comprende un numero particolarmente rilevante di aziende, straniere e non, che trattano in maniera più o meno variegata e disparata, i diversi tipi di dati dei propri utenti, fornitori, dipendenti, ecc. per diverse finalità.

    La classificazione dei dati è stata ulteriormente specificata dalla “State Administration for Market Regulation”, che ha operato la seguente suddivisione:

     

    a) “Dati non sensibili” (e.g. informazioni pubbliche caricate dall’utente)

    b) “Dati abbastanza sensibili” (e.g. le registrazioni delle chiamate con il centro clienti)

    c) “Dati sensibili” (e.g. numeri di telefono, e-mail, storico delle transazioni)

    d) “Dati molto sensibili” (e.g. numero della carta di identità, nomi utenti e password)

     

    La localizzazione rientra adesso tra i dati sensibili ed in quanto tale sarà fortemente limitata riducendo notevolmente le ipotesi in cui i brand possono, per esempio, tracciare le visite offline ai negozi.

     

     

     

    Consenso informato

     

    Sulla base di dette definizioni si basa il principio del consenso informato per chi intende gestire dati all’utente: dovrà essere richiesto in relazione al tipo di dati raccolti e a dove questi verranno elaborati. La regola generale stabilita dalla PIPL è che il consenso dovrà essere sempre richiesto per il trattamento dei dati personali. Sono previste alcune eccezioni specificamente individuate dall’art. 13 [1].

     

    Inoltre, il trattamento dei dati personali deve essere adeguatamente notificato in conformità con i requisiti applicabili e deve essere ottenuto consenso del soggetto identificato. Questi ha il diritto di conoscere e prendere decisioni sul trattamento delle loro informazioni personali e ha il diritto di ritirare o rifiutare il consenso.

     

    Ulteriori obblighi sono posti in capo alle piattaforme di e-commerce:

    1. Costituire un indipendente organo esterno di controllo per sorvegliare sulle attività di trattamento delle informazioni personali da parte del gestore della piattaforma;
    2. Cessare di fornire l’utilizzo della piattaforma ad operatori economici che violano ripetutamente ed in modo grave le prescrizioni sulle modalità di trattamento delle informazioni personali stabiliti dalla legge e dai regolamenti;
    3. Pubblicare regolarmente relazioni sulle responsabilità e adempimenti connessi al trattamento delle informazioni personali.

     

     

    Trasferimento transfrontaliero dei dati personali

     

    Particolarmente gravosa è la disciplina del trasferimento dei dati personali raccolti all’interno della Cina all’esterno.

     

    La PIPL richiede infatti, in ogni caso, un consenso ulteriore e separato nel caso in cui i soggetti responsabili del trattamento dei dati li condividano con altri soggetti, effettuino il trattamento dei dati personali per determinate finalità o li trasferiscano a soggetti all’estero (articolo 24, 30 e 39).

     

    Viene inoltre previsto un oneroso procedimento che consente di richiedere il consenso al trasferimento dei dati all’estero. Nello specifico è necessario, in primo luogo, che la Cyberspace Administration rilasci un “Security Assessment”, ottenere, da un soggetto autorizzato, un “Personal Data Protection Certification” (i cui requisiti devono essere ancora pubblicati). È necessario inoltre assicurarsi che il soggetto che riceve ed elabora i dati all’estero soddisfi comunque i requisiti previsti dalla legge cinese e, infine, è necessario utilizzare un modello di contratto standard, che sarà pubblicato da parte della Cyberspace Administration of China.

     

    La legge richiede inoltre di avere un “ufficio dedicato” o, quanto meno, un “rappresentate designato” responsabile sulle materie riguardanti la protezione dei dati personali (art. 53).

     

    Questa stringente previsione, applicata alla lettera, comporta l’obbligo di compliance alla normativa a pressoché ogni azienda che abbia intenzione di vendere i propri prodotti o servizi in Cina. Poiché anche solo la raccolta del nome dell’acquirente ed i suoi contatti innescano i requisiti della PIPL.

     

    Si segnala, infine, l’espresso divieto di fornire i dati personali alle autorità giudiziarie o amministrative straniere senza aver ottenuto il consenso da parte delle competenti autorità cinesi.

     

     

     

    Sanzioni

     

    Le sanzioni in caso di violazione della PIPL sono di natura amministrativa e variano in relazione alla serietà della violazione:

     

    La violazione minore può comportare: un avviso e la confisca dei proventi illegali, una sanzione amministrativa fino ad 1 milione di RMB (130,000 EUR c.a.) e una sanzione al responsabile privacy da 10,000 a 100,000 RMB (1,300 – 13,000 EUR c.a.).

     

    In caso di violazione grave le conseguenze possono essere: una richiesta di correzione e confisca dei proventi illegali, una sanzione amministrativa fino a 50 milioni RMB (6,500,000 EUR c.a.) o la confisca dei proventi fino al 5% dell’esercizio precedente, una multa al responsabile privacy da 100,000 a 1,000,000 RMB (13,000 – 130,000 EUR c.a.). L’onere della prova è sempre in capo al soggetto che raccoglie ed effettua il trattamento dei dati.

     

     

     

    Conseguenze per le aziende italiane ed europee

     

    Anche le aziende italiane ed europee che operano in Cina dovranno tenere conto della nuova normativa, con una particolare esposizione al rischio per i brand del lusso che potrebbero trovarsi a raccogliere dati personali di funzionari o persone che ricoprono cariche pubbliche.

     

    Il requisito del consenso specifico e informato potrebbe portare ad un ridimensionamento della pubblicità mirata e la strategia di profilare i consumatori sarà più difficile.

     

    Le difficoltà non riguardano solamente l’aspetto commerciale: le aziende dovranno adottare modelli e standard che garantiscano un trattamento dei dati in conformità con la nuova normativa e fondati sul consenso individuale, comportando maggiore attenzione agli aspetti di compliance ed alla privacy.

     

    Nctm potrà assistere le società ad adeguarsi al nuovo contesto normativo cinese in materia di protezione dei dati personali. Siamo disponibili a discutere dell’attuale modello privacy e a fornire una proposta di assistenza specifica.

     

     

     

    Il presente documento è aggiornato al mese di agosto 2021. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Carlo Geremia e Marco Cappa.

     

     

     

     

     

    [1] a) Quando l’attività di elaborazione è necessaria per entrare o eseguire il contratto di cui il soggetto i cui dati vengono elaborati è una delle parti. b) Quanto l’elaborazione è necessaria per eseguire obblighi o responsabilità legali. c) Quando è necessaria per ragioni di emergenza di saluta pubblica. d) Quando riguarda informazioni personali già rese pubbliche. e) Per finalità giornalistiche. f) Per altre finalità previste dalla legge.

    Introduction to Civil Code, Contracts and …
    Il nostro Hermes Pazzaglini terrà la seguente lectio magistralis in lingua ingle…
    Approfondisci
    China Labour Guide
    This memorandum outlines the principal regulations governing employment relation…
    Approfondisci
    China Data Protection Report 2024
    This short guide will help you navigate through the data security management laws and regulations of the People’s Republic of China (“PRC”). Click here for the entire document
    Approfondisci
    Imprese cinesi a caccia di liquidità: capitale sociale da versare in cinque anni
    Il mattone cinese si sgretola, trascinando con sè tutta l'impalcatura che regge un terzo del Pil, spingendo il Paese nella crisi del credito più grave degli ultimi anni. I mutui sono al livello più basso d…
    Approfondisci
    Riforma della Legge sulle società cinese
    Il 29 dicembre 2023, la settima sessione del Comitato permanente della quattordicesima Assemblea nazionale del popolo ha adottato la nuova Legge sulle società della Repubblica Popolare Cinese, che entrerà …
    Approfondisci
    Chinese Anti-Dumping Investigation on EU Brandy Imports
    On 5 January 2024, the Ministry of Commerce of the PRC (MOFCOM) has launched an anti-dumping investigation on EU-originating brandy import with the following details: period of dumping investigation: …
    Approfondisci
    China Implements New Regulations for Generative Artificial Intelligence Services
    This article has been written with the help of generative artificial intelligence The National Internet Information Office, in conjunction with other relevant authorities in China, has recently enacted …
    Approfondisci
    La Cina emette nuove direttive per incoraggiare gli investimenti esteri nel settore manifatturiero
    Il 13 ottobre 2022, pochi giorni prima dell'apertura del 20° Congresso del Partito Comunista Cinese a Pechino, sei organi pubblici cinesi al livello ministeriale, rispettivamente la Commissione Nazionale p…
    Approfondisci
    Measures for the Security Review of Foreign Investments
    Le Misure per la revisione della sicurezza degli investimenti esteri sono entrate in vigore il 18 gennaio 2021 e mirano a chiarire gli aspetti chiave della Legge sugli investimenti esteri della Repubblica …
    Approfondisci