Legge privacy cinese: cosa fare per essere in regola con il trattamento dei dati personali - Cyber Security 360

DATA PROTECTION

Legge privacy cinese: cosa fare per essere in regola con il trattamento dei dati personali

Il prossimo primo novembre terminerà il periodo di transizione che consente alle aziende di adeguarsi alla legge cinese sulla protezione delle informazioni personali di recente approvazione: ecco un utile vademecum per ottenere la conformità alle nuove regole privacy

27 Set 2021
G
Veronica Gallo

Università Europea di Roma

Il 20 agosto 2021, il China’s National People’s Congress ha approvato la legge sulla protezione delle informazioni personali (“PIPL”)[1]. Tale nuova legge privacy cinese prevede tempi rapidi di attuazione in quanto entrerà in vigore a partire dal primo novembre 2021. Il periodo di transizione sarà chiaramente una sfida per le organizzazioni soggette alla PIPL e ci sarà molto da fare e in tempi brevi al fine di ottenere la conformità.

Prendendo ampiamente spunto dai principi del Regolamento Generale sulla Protezione dei Dati dell’Unione europea (GDPR), la PIPL è la prima legge completa a essere approvata in Cina sulla protezione dei dati personali[2].

Questa, infatti, congiuntamente alla Cyber Security Law (CSL) e alla Data Security Law (DSL), definisce in maniera più delineata l’approccio della Cina alla regolamentazione del proprio cyberspazio e alla propria economia digitale.

In tale contesto, la PIPL imporrà alla Cina un adeguamento in linea con l’approccio basato sulla responsabilità sulla protezione dei dati, principio cardine del GDPR.

Le organizzazioni dovranno adottare un approccio “dall’alto verso il basso” seguendo il principio di privacy by design e by default, attuare politiche a livello aziendale e adottare procedure capaci di fissare gli standard per le attività di gestione dei dati.

Vi sarà un aumento delle spese generali di conformità in aree come gestione del consenso, valutazioni di impatto sulla privacy e trasferimenti internazionali di dati.

In tale contesto, è chiaro che le autorità dovranno integrare la PIPL con misure amministrative più dettagliate necessarie per definirne i dettagli chiave. L’amministrazione del Cyberspace of China (CAC) dovrebbe, in linea con quanto fatto dalla Commissione Europea, emanare clausole contrattuali standard per i trasferimenti internazionali di dati.

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

Legge privacy cinese: ambito di applicazione extraterritoriale

La maggior parte delle leggi cinesi esistenti che regolamentano il trattamento dei dati in Cina hanno un focus nazionale. La PIPL, invece, segue il principio dell’extraterritorialità del GDPR.

Pertanto, essa si applica nelle ipotesi cui le attività di trattamento dei dati siano finalizzati a:

  • fornire servizi o prodotti a individui in Cina;
  • analizzare o valutare le attività di individui in Cina.

La PIPL, inoltre, consente anche ulteriori estensioni dell’extraterritorialità, laddove lo consentano leggi o regolamenti amministrativi.

L’immediata implicazione pratica per le imprese multinazionali che elaborano dati personali comporta che nel caso in cui il trattamento dei dati sia effettuato da remoto, come ad esempio nel caso di un Responsabile del trattamento, vi è la necessità di istituire un organismo dedicato (ad esempio, un’entità onshore) o di nominare un rappresentante in Cina responsabile di amministrare i requisiti previsti dalla legge e di riferire gli stessi alle autorità competenti.

Disciplina dei trasferimenti transfrontalieri dei dati personali

La PIPL mira a risolvere l’incertezza di lunga data in merito alla regolamentazione dei trasferimenti transfrontalieri di dati personali dalla Cina.

Il CSL, entrato in vigore nel giugno 2017, ha imposto la localizzazione dei dati personali e dei “dati importanti” (dati sensibili o strategici del governo cinese, dati governativi non pubblicati, dati geografici o dati riguardanti le industrie sensibili/strategiche) per le organizzazioni designate come “operatori di informazioni critiche” (“OCII”), definizione nella quale, in termini molto ampi, rientrano sistemi e reti di importanza fondamentale per la Cina[3].

L’attuazione della PIPL ha sollevato preoccupazioni sul fatto che gli “operatori di rete” (essenzialmente qualsiasi organizzazione che opera anche l’infrastruttura ICT in Cina) sarebbero soggetti, pertanto, a restrizioni non sulla localizzazione bensì sul trasferimento dei dati.

Infatti, l’articolo 40 della PILP conferma che l’OCII è tenuto a localizzare i dati personali in Cina, salvo specifica approvazione ottenuta nei casi in cui sia necessario il trasferimento internazionale. L’articolo 40 prevede inoltre che i responsabili del trattamento che trattino dati personali oltre una specifica soglia non ancora pubblicata, sono tenuti a localizzare i propri dati personali nel territorio cinese.

Gli articoli 38 e 39 trattano, invece, in via più generale, le restrizioni ai trasferimenti internazionali. L’articolo 39 richiede ai soggetti interessati un consenso separato al trasferimento, seguendo sempre la regola del consenso “granulare” imposto dal GDPR e sempre revocabile; mentre l’articolo 38 richiede separatamente il soddisfacimento di una delle seguenti misure di conformità:

  • completamento di una valutazione di sicurezza informatica da parte del CAC (applicabile ai Responsabili del trattamento che sono OCII o trattano un volume di dati che eguaglia o supera le soglie di rilevanza ancora da stabilire dal CAC);
  • ottenimento di una certificazione da parte di un istituto professionale terzo;
  • stipulazione di un accordo tra l’organizzazione cinese e il destinatario dei dati che includa, ad esempio, delle clausole contrattuali tipo (“SCC”) da formulare a cura del CAC; o
  • soddisfazione di ogni altro requisito previsto dalle leggi, dai regolamenti o dal CAC[4].

Inoltre, i responsabili del trattamento che trasferiscono dati personali all’estero sono tenuti ad adottare le misure di sicurezza necessarie per garantire gli standard di protezione dei dati stabiliti dalla PIPL.

Il combinato disposto degli articoli 38 e 39, fa emergere la predisposizione di un cd. “consent plus” per i trasferimenti internazionali, destinato a sollevare significative sfide pratiche per le imprese multinazionali.

Se i soggetti interessati che si trovano nel territorio cinese possono infatti sempre revocare il loro consenso al trasferimento, sarà necessario per le imprese predisporre modalità e accordi per la gestione della revoca del consenso applicabili anche per chi riceve i dati precedentemente oggetto di consenso.

Proseguendo nell’analisi della normativa, l’articolo 41 della PIPL introduce inoltre l’obbligo di previa approvazione ufficiale per la comunicazione di informazioni personali archiviate in Cina ad agenzie giudiziarie o forze dell’ordine straniere.

L’autorità cinese competente è tenuta a rispondere alle richieste di dati da parte di autorità giudiziarie e forze dell’ordine straniere in conformità con i trattati internazionali o accordi di cui la Cina è parte o basati sul principio di uguaglianza e reciprocità.

Tali dati, infatti, non devono essere forniti senza l’approvazione dell’autorità cinese competente.

Base giuridica per il trattamento dei dati personali

La PIPL individua il consenso come base principale per il trattamento dei dati personali.

In aggiunta al consenso, con limitate esenzioni specifiche, sono individuate le seguenti basi giuridiche che autorizzano il trattamento dei dati personali:

  1. la conclusione o l’esecuzione di contratti con gli interessati;
  2. gestione delle risorse umane in conformità con i regolamenti sul lavoro adottati per legge e le regole dei contratti collettivi;
  3. adempimenti ad obblighi stabiliti dalle leggi applicabili;
  4. ove necessario, per rispondere a incidenti di salute pubblica e proteggere la vita e la salute degli individui;
  5. condurre servizi di informazione, supervisione dell’opinione pubblica e altri atti nell’interesse pubblico nel rispetto di “un ragionevole scopo”;
  6. uso di informazioni pubblicamente disponibili sempre “entro un ambito ragionevole”; e
  7. altre circostanze previste da leggi e regolamenti.

È prevista anche la notifica all’interessato (piuttosto che la richiesta di specifico consenso) in caso di trasferimenti di dati personali nell’ambito di fusioni, acquisizioni e ristrutturazioni aziendali.

A differenza del GDPR, la PIPL non prevede l’esistenza della base giuridica del “legittimo interesse” e nessun riconoscimento presunto o implicito del consenso.

Quest’ultimo, ai sensi della PIPL è sempre revocabile, a condizione che la revoca del consenso non incida sul trattamento avvenuto prima della revoca.

Le organizzazioni e le imprese che trattano dati personali non sono autorizzate a rifiutare di fornire prodotti o servizi se l’interessato nega o revoca il consenso a trattamenti non essenziali.

La PIPL, inoltre, come anticipato poco fa, richiede un consenso separato e quindi granulare nelle seguenti situazioni:

  • il trasferimento dei dati personali da parte dei titolari del trattamento a terzi (art. 23);
  • la pubblicazione dei dati personali (art. 25);
  • la pubblicazione o il conferimento di dati personali raccolti da apparecchiature installate nei luoghi pubblici per la sicurezza, quali immagini personali (art. 26);
  • il trattamento dei dati personali sensibili (art. 29);
  • trasferimenti transfrontalieri di dati personali (articolo 39).

La PIPL non offre ulteriori indicazioni su ciò che costituisce un consenso “separato/disaggregato”. In attesa di ulteriori indicazioni o interpretazione autorevole, l’interpretazione più ovvia è che il consenso richieda un riconoscimento scritto separato o la presenza di una casella che deve essere spuntata dal soggetto interessato per indicare il consenso per ogni voce.

Regolamentazione del trattamento dei dati personali sensibili

La PIPL segue ampiamente l’Information Security Technology nella definizione di “dati personali sensibili” concettualmente con riferimento alla possibilità che l’interessato subisca un danno alla dignità e sicurezza personale e/o patrimoniale.

Questo approccio ovviamente mostra il netto contrastato con il GDPR, che stabilisce invece un elenco specifico di “categorie speciali”, di dati personali che necessitano di una protezione rafforzata ai sensi della legge.

La PIPL elenca caratteristiche biometriche, credenze religiose, stato appositamente designato, salute medica, conti finanziari, localizzazione individuale e informazioni personali di minori di 14 anni come esempi specifici di dati personali sensibili, ma non possiamo tuttavia considerarlo un elenco definitivo e esaustivo.

Secondo la legge, il trattamento dei dati personali sensibili sarebbe consentito alla presenza dei seguenti requisiti:

  • presenza di una specifica finalità, sufficiente necessità e rigorosa tutela nella protezione delle informazioni;
  • l’interessato è stato informato della necessità del trattamento dei suoi dati personali sensibili e delle sue implicazioni;
  • prima di trattare dati personali sensibili, il titolare del trattamento deve eseguire una valutazione di impatto sulla protezione delle informazioni personali;
  • ottenimento di un consenso specifico da parte degli interessati.

L’accountability nella legge privacy cinese

La PIPL richiede alle organizzazioni di adottare ampie misure di responsabilità simili a quelle richieste dal GDPR.

Le organizzazioni che trattano e elaborano volumi di dati personali che superano le soglie ufficialmente specificate (non ancora indicate) saranno tenute a designare un Responsabile della Protezione dei dati o Data Protection Officer, responsabile, appunto, della protezione dei dati personali.

Le organizzazioni saranno tenute ad adottare una serie di misure dirette alla responsabilità interna, tra le quali rientrano:

  • formulazione di strutture gestionali interne e regole operative;
  • esercizi di classificazione dei dati;
  • adozione di misure di sicurezza (es. anonimizzazione o cifratura) a tutela dei dati personali trattati;
  • l’istruzione e la formazione sulla sicurezza per i dipendenti;
  • formulazione e attuazione di piani di risposta agli incidenti di sicurezza;
  • adozione di altre misure previste dalla legge.

Parallelamente, sarà necessario provvedere all’esecuzione di una valutazione d’impatto sulla protezione delle informazioni personali prima di condurre attività ad alto rischio sui dati, come il trattamento di dati personali sensibili e il trasferimento transfrontaliero di dati personali.

Legge privacy cinese: i diritti privacy

La PIPL stabilisce inoltre una serie di diritti degli interessati per i quali le organizzazioni saranno tenute ad attuare procedure per la gestione delle richieste, tra le quali ad esempio il diritto di accedere e ricevere copia dei propri dati personali, correggere dati inesatti o incompleti e cancellare le informazioni che non sono più necessari ai fini della raccolta, o nelle ipotesi in cui l’interessato abbia revocato il consenso o il trattamento non sia più lecito.

Esiste anche un diritto alla portabilità dei dati in base al quale gli interessati possono richiedere il trasferimento dei propri dati personali a un soggetto designato, soggetto alle normative CAC.

L’articolo 50 prevede che le organizzazioni dovranno pertanto stabilire delle procedure ad hoc per la gestione delle richieste di esercizio dei diritti degli interessati, fornendo agli stessi il diritto di appellarsi al Tribunale del popolo ove ritengano che le loro richieste siano state indebitamente respinte[5].

Obbligo di notifica dei data breach

La PIPL infine richiede alle organizzazioni di adottare misure correttive e informare immediatamente le autorità competenti e i soggetti interessati nelle ipotesi in cui si verifichino potenziali o effettive perdite di dati causate da incidenti di sicurezza.

In particolare, l’obbligo di notifica di data breach si estende dai casi di perdita, distorsione o incidenti di sicurezza di dati effettivi a quelli potenziali.

Le notifiche devono includere:

  • le categorie di dati, le cause e i possibili danni causati da perdite, distorsioni o incidenti verificatesi;
  • le misure correttive adottate dall’organizzazione e le misure che i singoli possono adottare per mitigare i danni;
  • i mezzi per contattare l’organizzazione.
  • La PIPL, tuttavia, conferma che le organizzazioni non saranno tenute a notificare le violazioni di dati ai soggetti interessati se possono essere adottate misure correttive senza che vengano causati danni alle persone, a meno che le autorità per la protezione dei dati personali non dispongano diversamente.

È degno di nota, tuttavia, che non vi è ancora un periodo di tempo specificato per le notifiche ai sensi della PIPL.

Altri punti d’attenzione della legge privacy cinese

Viste le principali novità introdotte nella nuova legge privacy cinese in materia di protezione dei dati personali, è utile adesso analizzare brevemente anche gli altri punti di attenzione.

I diritti delle persone decedute

La PIPL, così come inserito all’interno del D.lgs. n. 101/2018 (“Codice Privacy”), prevede che i parenti stretti di persone decedute possano esercitare i diritti di accesso, copia, correzione, cancellazione, delle relative informazioni personali delle persone decedute per i loro interessi legittimi, se non diversamente disposto dalla persona deceduta[6].

Regolamentazione del processo decisionale automatizzato

La PIPL introduce controlli sull’uso delle informazioni personali per condurre un processo decisionale automatizzato, in particolare imponendo tra i requisiti che tale processo decisionale non sia discriminatorio.

Le organizzazioni sono tenute a fornire agli interessati i mezzi per comprendere la decisione automatizzata laddove abbia un significativo impatto sui loro diritti e interessi e, in tali casi, la PIPL richiede che le decisioni non vengano prese esclusivamente basandosi su un sistema automatizzato.

Multe e sanzioni pecuniarie

La PIPL mantiene elevati standard di multe arrivando fino a 50.000.000 di RMB o il 5% del fatturato totale dell’azienda nell’anno precedente.

Inoltre, saranno punite con multe da 100.000 a 1.000.000 RMB, le persone che commettono reati ai sensi della PIPL e possono essere licenziate dalle qualifiche di amministratore, supervisore, direttore esecutivo o responsabile della protezione dei dati.

Consigli operativi e conclusioni finali

Inutile dire che la PIPL presenterà una sfida significativa alla conformità per le organizzazioni, rilevando in particolare che il periodo di grazia per l’attuazione è solo poco più di due mesi.

Questo è un periodo di tempo molto limitato per le organizzazioni in Cina, soprattutto in assenza di misure di attuazione e forme di documentazione prescritte che sono necessarie per dare specificità ad una serie di disposizioni generali di legge.

La priorità degli sforzi di conformità è fondamentale, ma non impossibile considerato l’ampio richiamo ai principi cardine del GDPR.

Pertanto, necessario sarà lo sviluppo di un efficace programma di compliance orientato all’adeguamento dei vari requisiti e ciò che deve essere fatto può essere sintetizzato come segue:

  1. un esercizio di “mappatura dei dati”, una vera e propria indagine sul business dell’azienda per capire quali dati personali sono detenuti e trattati dall’organizzazione e in che modo vengono utilizzate, archiviate, elaborate, trasferite e divulgate;
  2. revisione delle politiche e delle policy attuali, incluse, gestione della raccolta del consenso, trasferimenti dei dati transfrontalieri, procedure di gestione dei data breach, gestione delle richieste per l’esercizio dei diritti degli interessati, analisi dell’ambito di applicazione extraterritoriale in rapporto al business;
  3. identificazione delle lacune e sviluppo di un piano di azione.

Per alcune organizzazioni, potrebbero esistere misure di conformità esistenti che soddisfano i requisiti della PIPL, mentre per altri, saranno necessarie ulteriori specificazioni da parte del governo per capire come dovrebbero essere soddisfatte le misure richieste dalla PIPL.

Qualunque sia il contesto specifico dell’organizzazione, c’è chiaramente del lavoro da fare. Mentre la Cina si muove per introdurre la responsabilità dei dati come una pratica organizzativa è chiaro che il viaggio è appena iniziato.

 

NOTE

  1. China: NPC passes PIPL. Il testo della PILP è disponibile sul sito ufficiale solo in cinese.

  2. La PIPL è stata pubblicato per la prima volta in forma di bozza su 21 ottobre 2020, ha fatto seguito una seconda bozza dopo il 29 aprile. La versione finale della PIPL è rimasta sostanzialmente invariata in termini di struttura generale e politica dalla seconda bozza.

  3. Wang Qi, Cao Siqi and Xu Hailin, China introduces Data Security Law, strong legal support for development in digital age, Jun 11, 2021.

  4. Allo stato, il CAC non ha ancora pubblicato le SCC né i criteri per le sue valutazioni di sicurezza informatica, né stabilito un quadro di certificazione di terze parti.

  5. Nello specifico, si veda la somiglianza tra i diritti privacy riconosciuti dal GDPR (artt. 15-22) e il diritto di proporre reclamo all’Autorità di controllo ai sensi dell’art. 77.

  6. L’Italia con il D.lgs. n. 101/2018, ha introdotto nel Codice della Privacy (il D.lgs. 196/03) il nuovo art. 2 terdecies che prevede che i diritti di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 (concernenti il diritto di accesso, rettifica, integrazione, oblio, portabilità) riferiti ai dati personali concernenti persone decedute possano essere esercitati “da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5