Data protection in Cina, nuovi obblighi e sanzioni: così evolve la legge privacy - Cyber Security 360

GUIDA NORMATIVA

Data protection in Cina, nuovi obblighi e sanzioni: così evolve la legge privacy

In linea di continuità con la pubblicazione della prima bozza e con l’obiettivo di emanazione di una legge organica sulla privacy, la Cina ha rilasciato in consultazione pubblica una seconda bozza della Personal Information Protection Law (PIPL). Ecco le principali novità

21 Mag 2021
B
Chiara Benvenuto

Avvocato, Associate, Dipartimento Data Protection Rödl & Partner - Avv. Nadia Martini

M
Tommaso Mauri

Dottore, Dipartimento Data Protection Rödl & Partner - Avv. Nadia Martini

Nella prima settimana di maggio la Cina ha rilasciato in consultazione pubblica la seconda bozza della Personal Information Protection Law (PIPL) con l’obiettivo di emanazione di una legge organica sulla privacy seguendo un percorso normativo già tracciato con la prima bozza.

Nel solco tracciato dal rilascio della prima versione, risalente a dicembre 2020, il Comitato Permanente del Congresso Nazionale del Popolo Cinese (“China’s National People’s Congress Standing Committee, NPC”) ha dato conferma della ferma volontà di riformare profondamente l’ambito e la disciplina della materia all’interno del proprio contesto legislativo.

L’allineamento al Regolamento Europeo n. 679/2016 (GDPR), quale linea guida di riferimento, rappresenta al meglio la nuova tendenza portata avanti dal legislatore cinese, che ha compreso la necessità di intervenire nella disciplina della data protection al fine di meglio tutelare sia le informazioni degli individui, sia il corretto utilizzo degli stessi dati da parte degli organi governativi.

Le principali novità introdotte dalla seconda bozza della PIPL

Per comprendere il cammino intrapreso dal legislatore cinese, in un’ottica di sempre maggior tutela del dato personale del singolo individuo, è bene individuare nel dettaglio gli aspetti più importanti introdotti dal testo del secondo draft della Personal Information Protection Law (“Norma”).

A titolo di premessa, è bene rammentare come la prima bozza di legge fosse stata rilasciata in pubblica consultazione il 21 ottobre 2020 sino a dicembre dello stesso anno.

Il draft, così come strutturato, già all’epoca presentava chiari riferimenti strutturali alla disciplina offerta dal GDPR europeo; nello specifico, le somiglianze sono emerse in relazione a vari concetti, in primis la definizione di dati personali e particolari.

Parallelamente, considerevoli assonanze sono state rinvenute anche nell’individuazione del concetto stesso di consenso – in termini di base giuridica – e di obblighi informativi da garantire agli interessati, soprattutto nell’ottica di riconoscimento del diritto di questi ultimi di opporsi a taluni trattamenti perseguiti dai vari Titolari del trattamento, anche operanti nel mondo digital.

Accountability delle piattaforme e dei player del digital market

Sulla scia delle importanti novità della prima bozza, il governo cinese ha previsto un rafforzamento, in termini di accountability, della posizione ricoperta dalle piattaforme e dai player operanti nel mercato dei servizi digitali, in particolar modo delineando nuovi obblighi di autoregolamentazione in capo ai Titolari di riferimento operanti nel contesto degli App store o dei Cloud provider.

A livello sanzionatorio, viene introdotto il divieto di fornire dati personali a soggetti stranieri, quali ad esempio autorità giudiziarie di Paesi esteri, senza aver ottenuto preventivamente l’autorizzazione al rilascio da parte del governo di Pechino. Tale limitazione nella condivisione delle informazioni personali può essere intravista in apparente ottica di salvaguardia circa la fuoriuscita di dati dal territorio nazionale.

La seconda bozza di legge prevede, poi, la piena valorizzazione del ruolo di leader del Dipartimento statale per la cyber security e l’informazione (“State Cybersecurity and Informatization Department, CAC”):il dipartimento statale andrebbe a rappresentare il soggetto deputato alla definizione e allo sviluppo di regolamenti tecnici di dettaglio, assumendo dunque un ruolo cruciale all’interno della fase di implementazione delle disposizioni sancite dalla Norma, dal momento che quest’ultima fornisce esclusivamente un quadro dei principi di natura generale che, per essere concretizzati, necessiteranno obbligatoriamente di disposizioni attuative, che per l’appunto sarà compito del CAC andare a produrre.

In quarto e ultimo luogo, con la produzione del secondo draft la Cina decide di disciplinare e tutelare anche il delicato contesto che emerge a seguito della morte dell’interessato, in particolare per quel che concerne la tutela dei dati personali di quest’ultimo. Tenuto conto che il tema non ha trovato compiuta disciplina nel panorama legislativo mondiale, il fatto che un Paese come la Cina decida di occuparsene– prima anche di altri paesi – denota pienamente la volontà di Pechino di accelerare nella corsa alla tutela della data protection.

Privacy in Cina, le nuove regole per le app e il rapporto con il GDPR: verso maggiori tutele

Nuovi obblighi e vigilanza delle piattaforme online

Affrontando il primo elemento di novità introdotto dalla seconda bozza della Norma, è interessante rilevare come la modifica legislativa sposti il baricentro dell’imputazione giuridica direttamente in capo ai Titolari delle piattaforme digitale, che quindi si ritrovano soggetti al rispetto di vincoli imperativi che non avevano mai affrontato fino a questo momento.

Nello specifico, si parla di App store e Cloud provider, ove i diversi fornitori di servizi e attività promuovono il loro business spesso e volentieri traendo un vantaggio – anche economico – dal trattamento dei dati personali dei consumatori.

All’interno di questo contesto, l’obiettivo principale del nuovo articolo 57 della Norma corrisponde alla necessità di garantire una vigilanza sulle pratiche di protezione dei dati personali portate avanti da tali soggetti, nell’ottica di un rafforzamento sempre più consistente della tutela in capo al singolo interessato.

Analizzando il contenuto dell’articolo 57 si evince come, in primis, tutti quei soggetti che dispongono di modelli di business complessi e di un’estesa base di utenza, debbano osservare taluni obblighi di autoregolamentazione. Nello specifico:

  1. obbligo di istituire un organismo indipendente, composto principalmente da membri esterni, al fine di supervisionare le attività di trattamento dei dati personali degli utenti;
  2. obbligo di interruzione nella fornitura del servizio in riferimento a quei fornitori di prodotti che si rendono responsabili di violazioni di leggi e di regolamenti amministrativi in tema di gestione delle informazioni personali;
  3. obbligo di regolare rilascio di rapporti che evidenzino la responsabilità sociale in merito alla disciplina di protezione delle informazioni personali.

Il particolare riferimento all’autoregolamentazione e, soprattutto, all’istituzione di organismi indipendenti di vigilanza, prende spunto dalla parallela proliferazione di indagini dell’Antitrust sull’attività delle aziende tecnologiche maggiormente influenti in Cina.

In tale prospettiva, l’intervento del legislatore sarebbe idoneo a fornire un controllo esterno nei riguardi di quelle società che, per la natura degli algoritmi utilizzati e delle pratiche intraprese, denotano una rilevante assenza di trasparenza.

In tale frangente, si denota immediatamente l’apporto operativo che dovrà garantire il CAC che, in parallelo alla propria attività di produzione di diritto, dovrà anche fungere da organismo di supervisione in merito alla compliance dei singoli Titolari delle piattaforme.

Oltretutto, i nuovi requisiti della bozza della Norma, così come evidenziati, ricalcano taluni aspetti rinvenibili anche nel contesto della disciplina europea, specialmente con riguardo al tema dei “gatekeeper”. Questi soggetti altro non corrispondono che alla piattaforme digitali di grandi dimensioni, le quali sono state soggette a regolamentazione da parte della recente disciplina sui mercati digitali.

In quest’ottica, l’assunzione di responsabilità e la conseguente attività di vigilanza rispecchiano, in parte, il mandato di accesso ai dati personali da parte di organi esterni alle organizzazioni, ravvisando in tal caso notevoli similitudini anche con “l’Oversight Board” nominalmente costituito da Facebook al fine di rivedere le decisioni prese da quest’ultimo riguardo l’attività di moderazione dei contenuti condivisi dagli utenti sulla propria piattaforma.

Sanzioni conseguenti alla condivisione di dati con autorità straniere

La Cina decide di inasprire le sanzioni nei confronti di chi, in qualità di soggetto Titolare di dati personali trattati all’interno del territorio nazionale, condivida i suddetti dati con autorità estere e straniere alla giurisdizione di Pechino; in proposito, l’articolo 41 della seconda bozza prevede esplicitamente il divieto di condivisione dei dati nei termini suindicati, a meno che non intervenga in tal senso l’approvazione del governo cinese. In assenza del relativo permesso, la norma prevede una sanzione idonea a raggiungere l’importo di 1 milione di RMB (corrispondenti a circa 127 milioni di Euro).

Come si può ben notare dalla natura sanzionatoria della prescrizione, è evidente come il legislatore cinese intenda controllare e supervisionare qualunque flusso di dati che fuoriesca dal territorio nazionale, integrando in questi termini il tradizionale inserimento del decisore pubblico all’interno del contesto aziendale privato, per quel che concerne le aziende operanti all’interno dello Stato.

La preoccupazione sorta in capo al legislatore nasce, altresì, dal timore circa la capacità delle società straniere di accedere ad informazioni sulla popolazione cinese – specialmente per quel che riguarda le attività di business in capo alle aziende statunitensi che operano in Cina – che a quel punto rimarrebbero esposte se non adeguatamente tutelate.

Anche in tale frangente, come in precedenza, si percepisce una certa assonanza con quanto disposto dall’art. 48 GDPR, che prevede il blocco del trasferimento dati verso paesi terzi (cioè extra UE) allorquando tale trasferimento sia disposto dalla sentenza di un tribunale o ente straniero, a meno che non intervenga un’autorizzazione al trasferimento a seguito della presenza di un accordo internazionale, come ad esempio un trattato di mutua assistenza legale.

Esattamente come la prerogativa sancita dal Regolamento Europeo, allo stesso modo anche la bozza della Norma di stampo cinese prevede la possibilità di validare il trasferimento nel momento in cui lo stesso sia previsto da trattati o accordi internazionali conclusi o partecipati dalla Repubblica Popolare Cinese.

Il nuovo volto del dipartimento di cyber security cinese

Il terzo elemento di novità all’interno della disciplina sulla privacy dei dati personali su suolo cinese valorizza il ruolo e la figura del Dipartimento di stato per la cybersecurity e informatizzazione (CAC).

Quest’ultimo, difatti, nella nuova prospettiva delineata dalla seconda bozza della Norma, assume una funzione centrale e di fondamentale importanza nell’implementazione del quadro generale ed astratto definito dal legislatore: infatti, una corretta implementazione del sistema così delineato sarà possibile solo a fronte di una produzione regolamentare e tecnica quanto più dettagliata ad opera proprio del CAC.

Alla luce di quanto previsto dall’articolo 61, il CAC sarà chiamato a coordinare, in qualità di leader, tutta una serie di attività inerenti alla protezione dei dati portate avanti dai gestori dei servizi competenti. Volendo fare qualche esempio, le suddette attività potrebbero comprendere:

  1. la formulazione concreta di regole e standard inerenti alla protezione delle informazioni personali;
  2. la formulazione di regole e standard in riferimento all’emergere di nuove tecnologie, al fine di disciplinare per esempio gli sviluppi e le problematiche scaturenti dall’applicazione dell’intelligenza artificiale, del riconoscimento facciale e del trattamento dei dati particolari da parte delle applicazioni digitali;
  3. il sostegno alla nascita e allo sviluppo di una tecnologia di autenticazione dell’identità elettronica che sia il più possibile sicura e autentica;
  4. contribuire al progresso nella costruzione di sistemi di servizio idonei a sostenere la protezione delle informazioni personali, di concerto al supporto da garantire alle organizzazioni pertinenti rin merito ai servizi di certificazione offerti.

All’interno della prospettiva così delineata, è evidente come la CAC attirerà su di sé un elevato grado di responsabilità, soprattutto per quel che concerne la sfida posta dalla necessità di regolamentare l’avanzamento delle nuove tecnologie, le quali stanno assumendo una posizione sempre più predominante all’interno del panorama globale.

La disciplina dei dati personali post mortem

Per concludere l’analisi delle modifiche introdotte al sistema di protezione dei dati personali cinese, è bene soffermarsi sulla disciplina della gestione dei dati personali dell’interessato ex post la sua morte.

In questa prospettiva, la disciplina offerta dall’articolo 49 della bozza di Norma prevede il diritto alla gestione delle attività di trattamento delle informazioni personali del defunto direttamente in capo ai parenti più prossimi.

Tuttavia, la disposizione non specifica il grado di prossimità della parentela, ragion per cui essa sarà suscettibile di ulteriori approfondimenti da parte del legislatore cinese, specialmente allo scopo di garantire un ordine di priorità nei confronti dei parenti che eserciterebbero i diritti.

Peraltro, la bozza assegnerebbe ai parenti più stretti anche i diritti relativi alle informazioni personali del defunto, trascendendo dunque la mera gestione e riconoscendo esplicitamente la facoltà di “sostituirsi” alla persona deceduta nel godimento dei propri diritti.

Nonostante la complessità intrinseca della disposizione, così come impostata, è evidente che una sua approvazione sarebbe idonea ad aggiungere ulteriori oneri di conformità in capo ai gestori dei dati: difatti, questi ultimi sarebbero chiamati a svolgere un profondo lavoro di verifica delle relazioni familiari, al fine di poter attribuire sia il diritto di gestione che, soprattutto, di “godimento” dei diritti in materia di protezione dei dati personali del defunto[1].

Riflessioni finali

Con la predisposizione della seconda bozza della Personal Information Protection Law la Cina intende perseguire il cammino intrapreso nel dicembre 2020, al fine di conformare la propria struttura politico-legislativa a quei canoni di protezione dei dati personali che tanto bene conosciamo grazie all’esperienza portata dal GDPR.

Proprio quest’ultimo – nelle vesti di guida progressista in tema di riconoscimento dei diritti alla privacy dei singoli – rappresenta la stella polare dello sviluppo normativo sul tema da parte del governo di Pechino, che ha compreso la necessità di adeguarsi e mantenere il passo rispetto al restante novero delle legislazioni mondiali.

Come intravisto nell’analisi svolta, è indubbio difatti che il secondo draft così impostato ricalchi in gran parte gli spunti e le considerazioni introdotte dal GDPR, in quell’ottica di tutela primaria dei diritti di riservatezza dei singoli individui, senza al contempo tralasciare la primaria necessità del governo cinese di salvaguardare i propri interessi geopolitici da azioni eccessivamente invasive ad opera di entità straniere (si pensi, tra le altre, alla previsione dell’approvazione governativa per ogni trasferimento di dati “all’estero”).

L’auspicio è che il progetto di legge possa vedere la luce nel più breve tempo possibile, e comunque non oltre la fine del 2021: si garantirebbe così il superamento di quell’impasse tipica del contesto asiatico che per fin troppo tempo ha impedito a quest’ultimo di riconoscere ex lege quella branca di diritti fondamentali, privacy inclusa, che dovrebbe rappresentare il substrato normativo di qualunque paese civile.

 

NOTE

  1. Standford University DigiChina, China’s Draft Privacy Law Adds Platform Self-Governance, Solidifies CAC’s Role, 3 maggio 2021

@RIPRODUZIONE RISERVATA

Articolo 1 di 3