Nuova legge privacy cinese: ambito di applicazione e possibili impatti per società italiane ed europee - Cyber Security 360

DATA PROTECTION

Nuova legge privacy cinese: ambito di applicazione e possibili impatti per società italiane ed europee

La Cina ha approvato la Personal Information Protection Law (PIPL), la nuova legge in ambito data protection che presenta numerosi elementi in comune con i principi e le disposizioni del GDPR. Ecco quale sarà l’ambito di applicazione e i possibili impatti per le società italiane, europee e per i gruppi multinazionali

20 Set 2021
B
Pietro Boccaccini

Avvocato, Director Deloitte Legal

P
Simone Prelati

Avvocato, Senior Consultant Deloitte Legal

Il 20 agosto 2021 il Comitato Permanente dell’Assemblea Nazionale del Popolo cinese (China’s National People’s Congress Standing Committee) ha approvato la “Personal Information Protection Law” (“PIPL”), la nuova legge in ambito data protection che entrerà in vigore a decorrere dal 1° novembre 2021 e che presenta numerosi elementi in comune con i principi e le disposizioni del Regolamento UE n. 679/2016 (“GDPR”).

Uno dei principali aspetti che accomunano la normativa europea e quella cinese in materia di protezione dei dati personali è l’ambito di applicazione extra territoriale[1] e su questo fondamentale aspetto ci focalizzeremo, considerato il possibile impatto della nuova legge anche nei confronti di operatori italiani ed europei e di gruppi multinazionali.

USA e Cina, lotta al predominio nella sicurezza dei dati: scenari di intelligence

Ambito di applicazione della PIPL

L’art. 3, par. 1, della PIPL prevede che questa si applichi, innanzitutto, alle attività di trattamento di dati personali relativi a persone fisiche svolte all’interno del territorio cinese.

Il successivo par. 2 dispone che la PIPL si applichi anche alle attività di trattamento di dati personali svolte al di fuori del territorio Cina, relative a persone fisiche situate all’interno del territorio Cina, ove si verifichi una delle seguenti condizioni:

  1. la finalità del trattamento sia fornire prodotti o servizi a persone fisiche situate in Cina;
  2. la finalità del trattamento sia analizzare e valutare il comportamento di persone fisiche in Cina;
  3. negli altri casi stabiliti da Leggi o Regolamenti amministrativi (cinesi).

Inoltre, il Personal Information Processor (PIP – figura equivalente al titolare del trattamento, in ottica GDPR) che svolga attività di trattamento al di fuori della Cina, sulla base di una delle condizioni di cui all’art. 3, par. 2 (quindi l’ambito di applicazione extra territoriale) dovrà istituire un’entità giuridica apposita o designare un rappresentante in Cina responsabile per le tematiche inerenti la protezione dei dati personali e comunicare il nome e le informazioni di contatto dell’entità giuridica o del rappresentante ad un’Autorità cinese competente.

Dall’analisi della suddetta norma emerge come la PIPL – in modo simile al GDPR – definisca l’ambito di applicazione territoriale della legge sulla base di due criteri: a) quello del “luogo ove si svolge il trattamento”, che deve essere effettuato in Cina ai fini dell’applicabilità della legge; e b) quello del “targeting”, da cui scaturisce la portata extra territoriale della legge, come di seguito meglio precisato.

Il criterio del luogo ove si svolge il trattamento

Come anticipato, il primo paragrafo dell’art. 3 della PIPL prevede che la stessa si applichi alle attività di trattamento di dati personali svolte Cina: tale primo criterio è centrato sul luogo ove il trattamento viene effettuato.

La norma in questione non richiama invece il concetto di “stabilimento”, che è previsto dall’art. 3, par. 1, del GDPR e che deve intendersi, secondo la Corte di Giustizia Europea, quale organizzazione stabile che eserciti un’attività reale ed effettiva, anche minima. Ne consegue che, per l’applicazione della PIPL, è sufficiente il solo svolgimento di attività di trattamento di dati personali relativi a persone fisiche in Cina, anche ad opera di operatori europei, o comunque non cinesi.

In base a tale criterio, dunque, qualsiasi società europea che si trovi ad operare in Cina trattando dati personali all’interno del territorio, sarà soggetta agli obblighi previsti dalla PIPL.

A titolo esemplificativo, si pensi, ad un gruppo multinazionale operante nel settore del retail, la cui capogruppo abbia la sede legale in Italia e una controllata situata in Cina e che, nell’ambito delle sue attività commerciali, tratti dati personali di dipendenti e clienti.

In tale contesto – una volta appurata l’effettiva applicazione della PIPL in virtù dell’applicazione del criterio in oggetto del luogo del trattamento – la controllata cinese che trasferisca i dati personali dei dipendenti e dei clienti alla capogruppo nell’UE dovrà rispettare una delle stringenti condizioni per il trasferimento internazionale di dati previste all’art. 38 della PIPL, che includono anche, tra altre, il superamento di una valutazione di sicurezza da parte del “Cyberspace Administration of China” (“CAC”).

Un’ulteriore esempio di possibile applicazione della PIPL a società europee può essere quello di un’azienda automobilistica tedesca che affida alla controllata situata in Cina lo svolgimento di campagne pubblicitarie e di marketing.

In tal caso, l’entità cinese dovrà anche adempiere, tra l’altro, agli obblighi informativi previsti dalla PIPL e osservare le disposizioni relative alla raccolta del consenso degli interessati e, se del caso, quelle relative allo svolgimento di campagne di marketing attraverso processi decisionali automatizzati.

Il criterio del targeting

In modo speculare a quanto previsto dal GDPR, il criterio del targeting previsto dalla PIPL implica l’estensione dell’ambito di applicazione della legge oltre i confini del territorio cinese: tale legge potrebbe così applicarsi anche a tutte quelle società non cinesi che svolgono attività di trattamento di dati personali relativi ad interessati situati in Cina, in presenza di uno dei tre presupposti espressamente previsti dalla norma, di seguito dettagliati.

Il primo di tali presupposti riguarda le attività di trattamento svolte al di fuori della Cina allo scopo di offrire prodotti o servizi ad interessati situati in Cina.

Ove sia confermato – considerata l’incerta terminologia utilizzata nella formulazione della norma – che il presupposto in questione possa avere lo stesso significato del corrispondente art. 3, par. 2 (a), del GDPR, così come chiarito dallo European Data Protection Board (EDPB) nelle Linee Guida 3/2018 sull’ambito di applicazione territoriale del GDPR (“Linee Guida”), sarà necessario verificare, caso per caso, se la condotta del titolare dimostri la sua intenzione di offrire prodotti o servizi a un interessato in Cina.

Tra i vari fattori da considerare vi è l’utilizzo di una lingua o di una moneta abitualmente utilizzate in un determinato Stato.

In tale contesto, ove i beni o i servizi siano forniti in modo involontario o fortuito, il trattamento dei dati personali non dovrebbe rientrare nell’ambito di applicazione della PIPL, similmente al GDPR.

Tuttavia, la formulazione della norma sembrerebbe presupporre che il termine “purpose” sia collegato all’attività di trattamento, con la conseguenza che la PIPL si applicherà comunque alla società non cinese, indipendentemente da una verifica sull’effettiva intenzione del titolare di offrire prodotti o servizi agli interessati in Cina.

A tale riguardo, si pensi ad una società di e-commerce operante nel settore alimentare con sede in Italia che, attraverso il proprio sito web, disponibile in diverse lingue e accessibile anche in Cina, offra prodotti tipici del territorio italiano, consentendo agli interessati cinesi di poter acquistare tali prodotti e di riceverli a domicilio. Una simile situazione richiederebbe al titolare del trattamento di conformarsi alla nuova legge cinese.

Il secondo presupposto che comporta l’applicazione dell’art. 3 par. 2 della PIPL è relativo all’analisi e alla valutazione del comportamento di un interessato in Cina, laddove le operazioni di trattamento siano svolte al di fuori di tale territorio, ad esempio da parte di una società situata nell’UE.

La formulazione della norma – se comparata a quella utilizzata dal corrispondente art. 3 par. 2 GDPR, il cui termine “monitoring” è stato oggetto di chiarimenti dell’EDPB nelle Linee Guida – appare ricomprendere maggiori ipotesi rispetto a quelle previste dal GDPR.

Se, infatti, ai sensi delle citate Linee Guida, il termine “monitoraggio” del comportamento degli interessati non implica che qualsiasi raccolta o analisi online di dati personali di interessati rientri automaticamente nell’ambito di applicazione del criterio – dovendosi valutare in concreto le eventuali successive attività di profilazione – il presupposto di cui all’art. 3 par. 2 della PIPL sembrerebbe idoneo a ricomprendere qualsiasi attività di analisi, valutazione e studio del comportamento delle persone fisiche in Cina.

In tale contesto, si pensi a titolo esemplificativo al caso di un’azienda francese che abbia sviluppato un’app in ambito health e lifestyle, resa disponibile per il download all’interno di un app store per gli utenti situati in Cina e che consenta agli stessi di registrare le proprie informazioni personali (es. ore di sonno, peso, pressione sanguigna, battito cardiaco ecc.), fornendo loro consigli quotidiani sull’alimentazione da seguire e sulle attività sportive da praticare.

Tale azienda sarebbe certamente soggetta alle disposizioni della PIPL, alla luce del fatto che le attività di trattamento comportano l’analisi e la valutazione del comportamento degli interessati. In tale caso, tra gli adempimenti previsti dalla PIPL, risulta utile citare l’obbligo, fra altri, di svolgere una “personal information protection impact assessment” nei casi previsti dall’art. 55 della PIPL, che comprendono il trattamento di dati personali sensibili (“sensitive personal information”).

Infine, il terzo presupposto dell’art. 3 par. 2 della PIPL prevede che la stessa si applichi alle attività di trattamento di informazioni personali di interessati in Cina svolte al di fuori del territorio cinese, negli altri casi previsti da Leggi e Regolamenti amministrativi.

Ai fini dell’applicazione del presupposto in esame, si dovrà quindi attendere che il legislatore cinese definisca tramite atti normativi interni le specifiche casistiche che comportano l’applicazione della PIPL.

Sicurezza dei dati in Cina: che cambia con le nuove restrizioni sui trasferimenti dati

Conclusioni

Dall’esame della nuova legge cinese in materia di protezione dei dati personali emergono subito due aspetti cruciali:

  1. innanzitutto, la portata estremamente innovativa di una simile normativa (contenente anche numerosi diritti per gli interessati) in un ordinamento nel quale, fino ad ora, non era stata riservata la necessaria attenzione al tema della privacy e della protezione dei dati personali;
  2. la possibile applicazione delle disposizioni della PIPL a numerose aziende europee, americane, a gruppi multinazionali: entità stabilite in Cina, anche solo per il tramite di una controllata, o aventi comunque relazioni di business collegate a tale giurisdizione in virtù delle quali vengano trattati dati personali di interessati cinesi nell’ambito della vendita di beni/servizi o di attività di monitoraggio/profilazione.

Si osserva, da ultimo, che le obbligazioni previste dalla PIPL, in caso di sua applicazione, sono molto stringenti, in quanto il nuovo impianto normativo cinese ricalca sostanzialmente quello in vigore nell’UE fin dal 2016.

Tuttavia, le società che si debbano conformare alla nuova legge cinese ma che si siano già dotate di un programma di adeguamento al GDPR completo – e magari anche di policy per promuovere la compliance privacy a livello di gruppo – avranno un notevole vantaggio competitivo, soprattutto in termini organizzativi, rispetto ai soggetti che si trovino ad affrontare solo oggi il tema dell’adeguamento alle regole sulla protezione dei dati personali.

 

NOTE

  1. Non solo la PIPL prevede tale ambito di applicazione extra territoriale, ma anche la recente Data Security Law, entrata in vigore in Cina il 1° settembre 2021.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4