Come cambia la privacy in Cina per le app: ecco le nuove regole della data protection - Cyber Security 360

L'approfondimento

Come cambia la privacy in Cina per le app: ecco le nuove regole della data protection

Dal primo maggio entreranno in vigore le nuove leggi in materia di gestione dei dati personali, predisposte dal Governo cinese: si punta a definire la liceità del trattamento dei dati da parte delle applicazioni mobili, per dettare nuovi standard di sicurezza

01 Apr 2021
C
Marina Rita Carbone

Consulente privacy

Il Governo cinese ha predisposto nuove regole in materia di dati personali, che definiscono in quali ipotesi sia possibile ritenere lecito il trattamento da parte delle applicazioni mobile, la cui finalità sarà quella di dettare nuovi standard di sicurezza e di liceità per la raccolta e l’utilizzo di dati personali, in particolare per le tecnologie di riconoscimento facciale e per i servizi forniti dalle Big Tech.

Le norme, che entreranno in vigore il primo maggio, pongono particolare attenzione alla definizione di dati “necessari”.

La definizione di dato “necessario” o “sufficientemente necessario” varia in base al contesto nel quale il dato viene trattato e alle finalità perseguite; tuttavia, la legge prevede anche numerose limitazioni al trattamento, nel caso in cui quest’ultimo sia posto in essere da fornitori di servizi digitali (in particolare, applicazioni), al fine di inibire la massiva raccolta di dati personali dell’interessato sulla base di un modello di consenso c.d. “bundled”.

Il “bundled consent” permette all’azienda che raccoglie i dati di fornire un singolo consenso per finalità multiple ed eterogenee, senza dare all’interessato la facoltà di scegliere se acconsentire ad una, alcune o nessuna finalità di trattamento.

Ciò comporta un’evidente lesione dei diritti dei cittadini, che si trovano a non aver potere nella gestione delle proprie informazioni personali, all’interno di un quadro normativo “grigio”.

Nuova privacy cinese, la legge sui dati “necessari”

All’introduzione di nuove norme in materia di “necessità” del dato personale, si associa la stesura di una nuova legge sulla protezione dei dati, denominata Personal Information Protection Law o PIPL, il cui testo è ancora in fase di definizione, sebbene ci si aspetta che venga pubblicato nel corso dell’anno corrente.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza

Sono molteplici gli obiettivi che si intende perseguire nell’immediato tramite l’emanazione della legge sull’uso dei dati “necessari” da parte delle app mobili e, conseguentemente, dalla PIPL:

  • limitare, come anticipato in premesse, la raccolta e l’uso massivo e incondizionato dei dati personali da parte delle app mobili (e quindi, da parte delle Big Tech, che attualmente hanno il predominio sull’economia digitale del paese);
  • permettere al Governo cinese di riguadagnare un ruolo di rilievo nel processo di crescita dell’economia digitale della Cina stessa;
  • garantire maggiori tutele e maggiore protezione ai dati personali dei consumatori;

Il tema della privacy non è nuovo al governo cinese: negli ultimi anni, infatti, vi è stata una costante crescita di domanda da parte dei consumatori cinesi per una miglior protezione dei dati, alla luce dell’esponenziale crescita dell’uso delle tecnologie innovative in Cina (e, in particolar modo, nel settore privato).

Le leggi esistenti in materia di cyber security e data security, infatti, non erano considerate adeguate all’odierno contesto tecnologico, non includendo alcuna previsione specifica sulla privacy del dato personale.

USA e Cina, lotta al predominio nella sicurezza dei dati: scenari di intelligence

Senza dubbio, chiarire quali possano essere i casi in cui possa ritenersi “necessaria” una specifica informazione personale dell’utente potrà costituire uno standard unico per tutti gli operatori, andando ad allinearsi anche con quanto già previsto in Europa per la tutela dei dati personali con il GDPR.

In aggiunta alla definizione degli standard, la normativa cinese fornisce anche un dettagliato elenco di quali possano essere i tipi di informazioni personali che le app raccolgono e di quali siano, in tali casi, le informazioni che possono ritenersi davvero “necessarie”.

Sono stati molteplici, infatti, i casi in cui è stato rilevato un accesso, da parte delle app installate sugli smartphone, a dati che andavano ben oltre quelli utili all’erogazione del servizio, e che hanno innescato in Cina, il principale mercato degli smartphone e la nazione con il più alto numero di cittadini digitali, numerose contestazioni.

In tal senso, è stato riscontrato dai ricercatori del MIIT (Ministero dell’Industria e delle Tencologie dell’Informazione cinese) che più di 100 fornitori di app, inclusa Tencent Holdings, raccolgono dai in modo eccessivo, e ne abusano al fine di sviluppare le proprie strategie di mercato, con danni enormi per i diritti e le libertà dei singoli consumatori.

Nella vigenza del nuovo impianto normativo, tutti i fornitori di app mobile, secondo un’impostazione che appare estremamente in linea con i principi generali di cui al GDPR, dovranno rivedere il proprio processo di gestione dei consensi, verificando e dimostrando di non aver implementato un consenso “bundled” sulle proprie piattaforme.

Le aziende dovranno anche dimostrare di non trattare dati ultronei a quelli richiesti dal servizio.

I fronti critici

Anche in relazione a tale impianto normativo, non sono mancate critiche: Samuel Yang, partner dello studio legale Anjie, ha affermato che le nuove norme non forniscono sufficienti indicazioni in merito alle possibili modalità, diverse dal bundled consent, tramite cui possa ritenersi legittima la raccolta di dati personali “non necessari”, sostenendo che serva una maggiore regolamentazione su questo punto.

Come noto, i dati personali rappresentano la vera fonte di costo per l’utente che fa uso dei servizi gratuiti forniti online.

Si pensi solo a quante informazioni un’azienda come Facebook acquisisce da parte della propria utenza, e del valore che tali informazioni hanno per la Big Tech, il cui core business è rappresentato dalla sponsorizzazione e dalla targhettizzazione di quegli stessi utenti che usufruiscono dei propri servizi social.

Sebbene questa appaia come una strategia win-win, vantaggiosa per ambedue le parti, l’assenza di una regolamentazione precisa sui confini di utilizzo dei dati e sugli obblighi di trasparenza nei confronti degli utenti ha dato vita, negli ultimi anni, a fenomeni di abuso su larga scala dei dati personali, tra cui la possibilità usufruire del servizio solo a fronte dell’espressione di un consenso “generalizzato” alla raccolta di ogni tipologia di informazione e preferenza dell’utente.

Quando il trattamento è necessario secondo la normativa cinese

Svolte le dovute premesse, quali sono i casi in cui la legge cinese prevede che possa ritenersi “necessario” il trattamento di un dato al fine di fornire un servizio tramite applicazioni mobile? Per tale ragione, la nuova normativa cinese sull’utilizzo dei dati nelle app mobili prevede che quest’ultime possano raccogliere solo le informazioni personali necessarie dagli utenti che consentono loro espressamente e inequivocabilmente di accedere alle funzioni e ai servizi di base, mentre deve distinguersi il consenso fornito al fine di fornire dati che perseguono finalità ultronee a quelle proprie della app.

Le categorie di app i cui servizi e funzioni di base sono presi in esame sono 39, incluse app di messaggistica, shopping online, pagamenti online, registrazione di video, streaming e gaming mobile. In particolare:

  • per le app di food delivery e di shopping online, si ritengono “necessarie” le informazioni personali dell’utente come numero di telefono, cognome o nome del soggetto cui si deve effettuare la consegna, indirizzo e numero di contatto dello stesso, e i dati di pagamento;
  • per le app tramite cui si prenotano spostamenti, come ad esempio Uber, i dati necessari possono essere il numero di telefono dell’utente, il punto di partenza e di arrivo, il punto in cui è il veicolo, le informazioni di pagamento (inclusa l’ora, la cifra pagata e il metodo tramite cui si è deciso di pagare);
  • l’unica informazione ritenuta necessaria per il funzionamento di un gioco mobile o di app a scopo educativo è il numero di telefono dell’utente (in Cina, infatti, ogni numero di telefono è registrato alla carta di identità di chi lo possiede; per tale ragione, è sufficiente il numero di telefono per verificare l’identità della persona in una notevole varietà di situazioni, come la procedura di accesso ai servizi online o la verifica dell’identità nei servizi bancari);
  • in relazione ad altre categorie di applicazioni, finalizzate a fornire servizi di streaming, browser, news ed altre utilità (come, ad esempio, il calendario, il meteo e il dizionario) dovrebbe essere consentito l’accesso ai servizi base senza che sia fornito alcun tipo di informazione personale.

Tramite l’individuazione dei dati personali “necessari”, si impedirà l’accesso massivo e abusivo a dati fortemente personali come quelli acquisiti tramite il microfono, l’album di fotografie o la lista di contatti dell’utente.

Tematiche, queste, fortemente sentite in Cina, tant’è che lo stesso MIIT ha vietato espressamente a circa 30 società, tra cui Alibaba Group, di accedere al microfono e alla lista contatti degli utenti, dopo aver rilevato che tali accessi venivano posti in essere illegalmente, in completa assenza di trasparenza e consenso da parte degli stessi.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5