Articoli
13/09/2021

Memorandum sul “GDPR Cinese” – Personal Data Protection Law. Le principali novità e conseguenze

L’attività legislativa nella Repubblica Popolare Cinese in materia di protezione dei dati personali ha attratto su di sé il focus degli operatori oltre che un’attenzione a livello mediatico, in considerazione di severe prese di posizione in fase applicativa da parte delle autorità di controllo.

Nell’ultimo decennio la Cina si è affermata come player nella disciplina dell’economia digitale e di internet, approvando una serie di provvedimenti che sono stati, come nel caso della “E-commerce Law”, di significativa rilevanza nello scenario globale. La tendenza, iniziata nel 2016 con l’approvazione della “Cybersecurity Law” (“CSL”) è stata caratterizzata fin da subito da un approccio di c.d. “data sovereignty”, evidenziando in maniera sempre più preponderante il ruolo decisivo che viene attribuito dal Legislatore alle diverse sfaccettature, economiche e sociali, che derivano dal mercato digitale.

In questo contesto, l’attenzione alla sicurezza dei dati viene vista come un passo ulteriore del Legislatore cinese verso la creazione di un ambiente virtuale sempre più regolato.

Il ruolo predominante che l’utilizzo dei dati svolge all’interno dei modelli di business delle aziende da un lato, e la crescente attenzione dei cittadini cinesi riguardo l’utilizzo dei propri dati personali da parte delle aziende private, ha orientato il Legislatore verso l’approvazione della “Personal Information Protection Law” (PIPL) che entrerà in vigore il 1 novembre 2021 e che, per il proprio contenuto e impostazione, è stata assimilata all’europeo “General Data Protection Regulation” (GDPR).

 

Scopo e portata della nuova normativa

Lo scopo della Personal Information Protection Law è di regolare l’attività di trattamento dei dati raccolti all’interno del territorio cinese. I principali destinatari di questa legge sono le big tech cinesi (Alibaba, Baidu, Tencent), tuttavia impatta, nella propria applicazione, anche le società straniere che effettuano il trattamento, al di fuori del territorio cinese, i dati personali raccolti in Cina e relativi a persone fisiche cinesi.

Vengono introdotte una serie di definizioni fondamentali che consentono di circoscrivere la portata del provvedimento legislativo:

  1. La definizione di “personal information” è la seguente: “tutte le tipologie di informazione relative a persone naturali identificate o identificabili”, specificando che debbano essere “registrate con mezzi elettronici” e che le informazioni elaborate in maniera anonima non ricadono in questa categoria;
  2. Diversa e separata è invece la definizione di “informazioni personali sensibili” descritte come “quelle informazioni personali che possono arrecare danno alla dignità personale di qualsiasi persona fisica o danno alla sua sicurezza personale o patrimoniale una volta divulgate o utilizzate illegalmente”;
  3. Non meno importante è la figura del “gestore di informazioni personali”, in qualità di soggetto principale degli obblighi della legge. Figura che può essere assimilata al titolare del trattamento nel nostro GDPR. Questa definizione comprende un numero particolarmente rilevante di aziende, straniere e non, che trattano in maniera più o meno variegata e disparata, i diversi tipi di dati dei propri utenti, fornitori, dipendenti, ecc. per diverse finalità.

La classificazione dei dati è stata ulteriormente specificata dalla “State Administration for Market Regulation”, che ha operato la seguente suddivisione:

a) “Dati non sensibili” (e.g. informazioni pubbliche caricate dall’utente)
b) “Dati abbastanza sensibili” (e.g. le registrazioni delle chiamate con il centro clienti)
c) “Dati sensibili” (e.g. numeri di telefono, e-mail, storico delle transazioni)
d) “Dati molto sensibili” (e.g. numero della carta di identità, nomi utenti e password)

La localizzazione rientra adesso tra i dati sensibili ed in quanto tale sarà fortemente limitata riducendo notevolmente le ipotesi in cui i brand possono, per esempio, tracciare le visite offline ai negozi.

 

Consenso informato

Sulla base di dette definizioni si basa il principio del consenso informato per chi intende gestire dati all’utente: dovrà essere richiesto in relazione al tipo di dati raccolti e a dove questi verranno elaborati. La regola generale stabilita dalla PIPL è che il consenso dovrà essere sempre richiesto per il trattamento dei dati personali. Sono previste alcune eccezioni specificamente individuate dall’art. 13 [1].

Inoltre, il trattamento dei dati personali deve essere adeguatamente notificato in conformità con i requisiti applicabili e deve essere ottenuto consenso del soggetto identificato. Questi ha il diritto di conoscere e prendere decisioni sul trattamento delle loro informazioni personali e ha il diritto di ritirare o rifiutare il consenso.

Ulteriori obblighi sono posti in capo alle piattaforme di e-commerce:

  1. Costituire un indipendente organo esterno di controllo per sorvegliare sulle attività di trattamento delle informazioni personali da parte del gestore della piattaforma;
  2. Cessare di fornire l’utilizzo della piattaforma ad operatori economici che violano ripetutamente ed in modo grave le prescrizioni sulle modalità di trattamento delle informazioni personali stabiliti dalla legge e dai regolamenti;
  3. Pubblicare regolarmente relazioni sulle responsabilità e adempimenti connessi al trattamento delle informazioni personali.

 

Trasferimento transfrontaliero dei dati personali

Particolarmente gravosa è la disciplina del trasferimento dei dati personali raccolti all’interno della Cina all’esterno.

La PIPL richiede infatti, in ogni caso, un consenso ulteriore e separato nel caso in cui i soggetti responsabili del trattamento dei dati li condividano con altri soggetti, effettuino il trattamento dei dati personali per determinate finalità o li trasferiscano a soggetti all’estero (articolo 24, 30 e 39).

Viene inoltre previsto un oneroso procedimento che consente di richiedere il consenso al trasferimento dei dati all’estero. Nello specifico è necessario, in primo luogo, che la Cyberspace Administration rilasci un “Security Assessment”, ottenere, da un soggetto autorizzato, un “Personal Data Protection Certification” (i cui requisiti devono essere ancora pubblicati). È necessario inoltre assicurarsi che il soggetto che riceve ed elabora i dati all’estero soddisfi comunque i requisiti previsti dalla legge cinese e, infine, è necessario utilizzare un modello di contratto standard, che sarà pubblicato da parte della Cyberspace Administration of China.

La legge richiede inoltre di avere un “ufficio dedicato” o, quanto meno, un “rappresentate designato” responsabile sulle materie riguardanti la protezione dei dati personali (art. 53).

Questa stringente previsione, applicata alla lettera, comporta l’obbligo di compliance alla normativa a pressoché ogni azienda che abbia intenzione di vendere i propri prodotti o servizi in Cina. Poiché anche solo la raccolta del nome dell’acquirente ed i suoi contatti innescano i requisiti della PIPL.

Si segnala, infine, l’espresso divieto di fornire i dati personali alle autorità giudiziarie o amministrative straniere senza aver ottenuto il consenso da parte delle competenti autorità cinesi.

 

Sanzioni

Le sanzioni in caso di violazione della PIPL sono di natura amministrativa e variano in relazione alla serietà della violazione:

La violazione minore può comportare: un avviso e la confisca dei proventi illegali, una sanzione amministrativa fino ad 1 milione di RMB (130,000 EUR c.a.) e una sanzione al responsabile privacy da 10,000 a 100,000 RMB (1,300 – 13,000 EUR c.a.).

In caso di violazione grave le conseguenze possono essere: una richiesta di correzione e confisca dei proventi illegali, una sanzione amministrativa fino a 50 milioni RMB (6,500,000 EUR c.a.) o la confisca dei proventi fino al 5% dell’esercizio precedente, una multa al responsabile privacy da 100,000 a 1,000,000 RMB (13,000 – 130,000 EUR c.a.). L’onere della prova è sempre in capo al soggetto che raccoglie ed effettua il trattamento dei dati.

 

Conseguenze per le aziende italiane ed europee

Anche le aziende italiane ed europee che operano in Cina dovranno tenere conto della nuova normativa, con una particolare esposizione al rischio per i brand del lusso che potrebbero trovarsi a raccogliere dati personali di funzionari o persone che ricoprono cariche pubbliche.

Il requisito del consenso specifico e informato potrebbe portare ad un ridimensionamento della pubblicità mirata e la strategia di profilare i consumatori sarà più difficile.

Le difficoltà non riguardano solamente l’aspetto commerciale: le aziende dovranno adottare modelli e standard che garantiscano un trattamento dei dati in conformità con la nuova normativa e fondati sul consenso individuale, comportando maggiore attenzione agli aspetti di compliance ed alla privacy.

Nctm potrà assistere le società ad adeguarsi al nuovo contesto normativo cinese in materia di protezione dei dati personali. Siamo disponibili a discutere dell’attuale modello privacy e a fornire una proposta di assistenza specifica.

 

Il presente documento è aggiornato al mese di agosto 2021. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Carlo Geremia e Marco Cappa.

 

 

[1] a) Quando l’attività di elaborazione è necessaria per entrare o eseguire il contratto di cui il soggetto i cui dati vengono elaborati è una delle parti. b) Quanto l’elaborazione è necessaria per eseguire obblighi o responsabilità legali. c) Quando è necessaria per ragioni di emergenza di saluta pubblica. d) Quando riguarda informazioni personali già rese pubbliche. e) Per finalità giornalistiche. f) Per altre finalità previste dalla legge.

Ricevi i nostri aggiornamenti