La normativa

PIPL, cosa dice la legge privacy in Cina: ecco le regole per adeguarsi

Entrata in vigore a novembre 2021 in Cina, la PIPL (Personal Information Protection Law) punta a regolamentare la protezione dei dati, stabilendo per esempio regole precise sul loro trasferimento: regole che hanno un rilevante impatto sulle società che operano nel Paese, tanto che alcune Big hanno lasciato il campo

29 Dic 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

La Personal Information Protection Law (PIPL) della Repubblica Popolare Cinese, entrata in vigore il primo novembre, è la prima normativa organica con lo scopo di regolamentare la protezione dei dati personali, dettare i principi fondamentali, statuire chiari diritti per gli interessati, determinare regole sui trasferimenti dei dati personali fuori dal perimetro nazionale e statuire gli obblighi in capo ai titolari del trattamento.

Questa normativa sta avendo un impatto notevole sulle società che operano nel Paese, che hanno avuto un periodo piuttosto breve per adeguarsi, suscitando diverse reazioni anche da parte di molte tech companies. Vediamo cosa prevede.

Nuova legge privacy cinese: ambito di applicazione e possibili impatti per società italiane ed europee

Il rapporto con il GDPR

La normativa sulla privacy della Cina appare modellata sul Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione europea, ma gli oneri sono molti e alcuni piuttosto stringenti.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Il quadro normativo con riferimento alla protezione dei dati personali è costituito principalmente da tre normative: la Cybersecurity Law, in vigore dal 1° giugno 2017, la Data Security Law, in vigore dal primo settembre 2021 e la Personal Information Protection Law, avente efficacia dal primo novembre 2021.

Le società che hanno rapporti commerciali con la Cina devono necessariamente adeguarsi alle normative sopra citate.

PIPL, come adeguarsi

Con riferimento alla recente Personal Information Protection Law (PIPL), è, in primo luogo, fondamentale determinare se la normativa è applicabile. L’articolo 3 sull’ambito territoriale estende l’applicazione della PIPL al trattamento dei dati personali al di fuori della Cina. In particolare, la PIPL si applica nei casi in cui:

  • il trattamento dei dati personali avviene all’interno del territorio cinese, indipendentemente dal fatto che il trattamento sia posto in essere da aziende cinesi o da affiliate locali di società multinazionali se l’organizzazione ha sede in Cina;
  • il trattamento dei dati personali avviene al di fuori della Cina laddove la finalità del trattamento sia quella di fornire prodotti e servizi a persone fisiche situate in Cina o quella di svolgere attività di analisi e valutazione del comportamento delle persone fisiche in Cina;
  • nelle altre circostanze previste da leggi e regolamenti amministrativi (non specificate nel PIPL). Le imprese con sede al di fuori dalla Cina hanno, altresì, l’obbligo di nominare un rappresentante o di stabilire un ente in Cina.

Il Capitolo I della PIPL individua i principi che devono essere rispettati nel trattare i dati personali, la maggior parte dei quali assomiglia ai principi dettati dall’articolo 5 del GDPR: il trattamento deve rispettare i principi di trasparenza, liceità, buona fede, necessità e minimizzazione, anche se il PIPL fa una distinzione tra gli ultimi due principi: il principio di necessità è generalmente applicabile a tutte le attività di trattamento, mentre il principio di minimizzazione dei dati si applica specificamente alla raccolta di dati personali. Nel PIPL è esplicitata la buona fede, che è un principio giuridico fondamentale nel diritto civile cinese.

Il principio di trasparenza comporta la necessità di informare gli interessati sulle modalità di trattamento dei dati personali, con modalità concise, facilmente accessibili, facili da capire e in un linguaggio chiaro e semplice. È necessario, quindi, rendere disponibile sul proprio sito web o sulle applicazioni un’informativa privacy, valutando attentamente che sia resa in un formato chiaro e leggibile. L’articolo 5 della PIPL richiede che le informazioni personali siano trattate in modo lecito; ciò significa che il trattamento deve soddisfare le condizioni previste dalla legge.

La liceità del trattamento secondo la PIPL

Prima della PIPL, la normativa cinese basava la liceità del trattamento principalmente sul consenso, pertanto, se non diversamente previsto dalle leggi e dai regolamenti amministrativi, il trattamento delle informazioni personali doveva avvenire principalmente sulla base del consenso. La PIPL prevede, invece, come il GDPR, diverse basi giuridiche per il trattamento dei dati personali:

  • consenso;
  • conclusione o esecuzione di un contratto con gli interessati o gestione delle risorse umane in conformità ai regolamenti sul lavoro adottati per legge e ai contratti collettivi;
  • adempimento di obblighi stabiliti dalla legge;
  • risposta ad un’emergenza sanitaria pubblica o per proteggere, in caso di emergenza, la vita, la salute o la proprietà di una persona fisica;
  • cronaca, opinione pubblica nel pubblico interesse;
  • trattamento di informazioni rese pubbliche dagli stessi interessati;
  • altre circostanze previste da leggi e regolamenti. A differenza del GDPR, non è previsto il legittimo interesse come base giuridica per il trattamento.

È fondamentale per le aziende identificare l’opportuna base giuridica che legittima i trattamenti di dati personali posti in essere e verificare gli specifici adempimenti: la normativa cinese, infatti, richiede in alcuni casi un consenso separato, prevede condizioni specifiche in relazione al trattamento di dati personali sensibili e disciplina in modo specifico il trattamento dei dati personali dei minori.

La qualità delle informazioni

La PIPL dispone, altresì, che nel trattare i dati personali sia garantita la qualità delle informazioni. Occorre, quindi, predisporre le misure adeguate a garantire che tutti i dati personali siano accurati, completi e aggiornati.

L’articolo 9 della PIPL prevede che i titolari del trattamento siano responsabili delle attività di trattamento delle informazioni personali e debbano adottare le misure necessarie per garantirne la sicurezza.

Ogni azienda che debba adempiere alla normativa deve, pertanto, effettuare una valutazione delle misure di sicurezza, comprese quelle tecniche e organizzative, che risultino adeguate ed efficaci per garantire la sicurezza dei dati personali trattati, considerando la quantità di informazioni trattate, i metodi e la frequenza delle attività di trattamento, se sono coinvolte informazioni personali sensibili.

Oltre alla concreta adozione delle misure di sicurezza, è opportuno che vengano predisposti dei meccanismi finalizzati a dimostrare la conformità alla normativa, formalizzando policy, procedure, sistemi per la conservazione dei log e implementando attività di formazione.

Il DPO

Un ulteriore adempimento speculare a quello previsto dal GDPR riguarda la necessità di nominare un personal information officer, una figura simile a quella del Data Protection Officer prevista dal GDPR, anche se la PIPL non prevede specifiche caratteristiche e competenze per ricoprire questo ruolo.

PIPL, le regole per il trasferimento dei dati

La parte sicuramente più interessante per le aziende europee è relativa ai trasferimenti dei dati personali al di fuori del territorio cinese. Secondo la PIPL, come nel GDPR, il trasferimento di dati personali al di fuori del territorio cinese non può avvenire liberamente, ma deve soddisfare alcune condizioni, vale a dire:

  • ottenere il consenso, informato, separato, dell’interessato, laddove il consenso sia la base giuridica del trattamento;
  • effettuare una valutazione dell’impatto;
  • soddisfare una delle quattro condizioni speciali.

Tra le condizioni speciali richieste per un lecito trasferimento dei dati, sono indicate:

  1. il superamento di un security assessment effettuato dal dipartimento statale per il cyberspazio (State Cyberspace Administration). La PIPL estende il campo di applicazione della localizzazione e del requisito del security assessment previsto nella Cybersecurity Law, prevedendo che gli operatori di infrastrutture informatiche critiche (“CIIOs”) e i titolari il cui trattamento raggiunge una certa quantità, debbano conservare le informazioni personali raccolte e generate in Cina all’interno del territorio cinese;
  2. l’ottenimento di una certificazione di protezione delle informazioni personali. Al momento, il testo normativo non specifica come ottenere tale certificazione;
  3. la conclusione di un contratto con il destinatario in conformità con il contratto standard formulato dal dipartimento statale per il cyberspazio e l’informatizzazione. Al momento non risulta fornito lo standard, ma ci si aspetta che venga reso disponibile a breve e dovrebbe essere simile alle clausole contrattuali tipo (SCCs);
  4. il soddisfacimento di altre condizioni prescritte da leggi, regolamenti amministrativi o dal dipartimento statale per il cyberspazio e l’informatizzazione.

La PIPL stabilisce che i dati personali conservati in Cina non debbano essere forniti alle autorità giudiziarie o di polizia al di fuori della Cina, senza l’approvazione dell’autorità cinese competente. È importante, quindi, che le aziende:

  • verifichino la necessità di trasferire dati personali al di fuori della Cina;
  • ottengano e conservino il consenso informato separato degli interessati prima del trasferimento in tutti i casi in cui la base giuridica del trattamento è il consenso;
  • stabiliscano meccanismi di valutazione dell’impatto della protezione dei dati personali per il trasferimento, conservando il report della valutazione e la registrazione del trasferimento il periodo di tempo indicato dalla normativa;
  • verifichino quale delle condizioni speciali risulta applicabile;
  • controllino eventuali leggi e regolamenti che prevedono restrizioni al trasferimento o speciali adempimenti.

Recentemente, la Cyberspace Administration of China ha pubblicato due testi rilevanti: un “Draft Measures on Security Assessment of Cross-border Data Transfer” sottoposto a consultazione pubblica fino al 28 novembre 2021 e le Cyber Data Security Administration Regulations, anch’esse sottoposte a consultazione pubblica fino al 13 dicembre 2021. Lo scenario è, quindi, in evoluzione e occorre restare aggiornati.

Legge privacy in Cina, il caso di Yahoo e delle altre Big Tech

Nel mese di novembre Yahoo ha comunicato di essersi ritirata dalla Cina come risultato di una normativa sempre più impegnativa, come riportato dal Wall Street Journal. Yahoo avrebbe cessato i suoi servizi il primo novembre, in concomitanza con l’entrata in vigore della legge sulla protezione dei dati personali. Pertanto, in conseguenza di un ambiente commerciale e legale sempre più difficile in Cina per le aziende, la suite di servizi di Yahoo non è più accessibile dalla Cina continentale dal primo novembre.

L’azienda è entrata per la prima volta in Cina nel 1999 e gestiva siti web come AOL.com, TechCrunch e Engadget – che ora non risultano più accessibili. Gli utenti erano stati previamente informati anche del fatto che diverse applicazioni, tra cui il meteo di Yahoo, sarebbero state interrotte dal 1° novembre. Il WSJ ha anche citato Applecensorship.com, un sito web gestito da un gruppo anonimo di censura attivista anticensura chiamato GreatFire, che avrebbe affermato che app come Yahoo Mail e Yahoo weather non erano disponibili sull’app store cinese di Apple già dal 14 ottobre.

La mossa di Yahoo è arrivata poche settimane dopo che LinkedIn di Microsoft aveva abbandonato la Cina, come reazione a “un ambiente operativo significativamente più impegnativo e maggiori requisiti di conformità” nel Paese. Le aziende citate sono le ultime in termini temporali, ma già Google aveva lasciato il mercato nel 2010, mentre Facebook e Twitter sono stati bloccati in Cina già dal 2009 e Clubhouse e Signal nell’anno corrente.

Il contesto 

La nuova legge sulla privacy della Cina si inserisce nel quadro normativo finalizzato a regolamentare il settore tecnologico su questioni come le pratiche anticoncorrenziali e la sicurezza dei dati personali. La Cina, nel mese di febbraio 2021 ha anche rilasciato nuove linee guida volte a contrastare i monopoli, che hanno avuto forti impatti sui giganti dell’e-commerce nel Paese. Il governo cinese ha inflitto multe pesanti ad Alibaba e Tencent. In particolare, Alibaba è stata sanzionata nell’aprile di quest’anno per condotta anticoncorrenziale con una delle sanzioni più pesanti mai inflitte dalle autorità cinesi (2,8 miliardi di dollari).

Il ritiro di Yahoo è avvenuto in concomitanza con l’entrata in vigore della legge cinese sulla protezione delle informazioni personali, anche se Yahoo non ha fatto alcun riferimento direttamente a tale normativa. Infatti, la società aveva già iniziato a chiudere i suoi principali servizi come e-mail, notizie e servizi di comunità in Cina a partire dal 2013. Tuttavia, l’uscita di Yahoo è un segno delle crescenti sfide che le aziende straniere devono affrontare per operare in Cina.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 2