Privacy in Cina, le nuove regole per le app e il rapporto con il GDPR: verso maggiori tutele - Cyber Security 360

Il cambiamento

Privacy in Cina, le nuove regole per le app e il rapporto con il GDPR: verso maggiori tutele

Le nuove regole cinesi sulla data protection in relazione alle app riguardano principalmente la definizione delle informazioni personali cosiddette necessarie: in generale, si va verso una più ampia legislazione in materia di privacy con punti in comune all’europeo GDPR

08 Apr 2021
M
Tommaso Mauri

Dipartimento Data Protection Rödl & Partner - Avv. Nadia Martini

Per la prima volta nel contesto della data protection cinese, il Paese asiatico ha definito le informazioni personali “necessarie” acquisibili dalle applicazioni nella loro attività digitale, andando così ad intervenire per arginare la pratica dei cd. “consensi in blocco”.

Il citato intervento regolatorio rappresenta un passo importante verso una disciplina più garantista dei diritti della persona riguardo il trattamento dei dati personali, e in tal senso si inserisce nel percorso normativo tracciato con la pubblicazione della bozza della Personal Information Protection Law.

In linea con questa prospettiva, entrambe le disposizioni esprimono il chiaro atteggiamento della Cina di volersi uniformare ai medesimi principi sanciti a livello europeo dal GDPR, al fine di rendersi maggiormente compliant circa una tematica così sensibile quale è la protezione dei dati delle persone.

La disciplina delle app in Cina: le novità

Grazie alla modifica dell’assetto legislativo inerente alla raccolta delle informazioni da parte delle app mobile, introdotto dalla Regulations on the Scope of Personal Information Necessary for Common Types of Mobile Internet Applications (“Disciplina”) la Cina non solo muove i primi passi verso una maggiore tutela dei dati personali dei consumatori, bensì si appresta anche ad intensificare il ruolo che Internet, in qualità di industria sempre più dominante, ha all’interno della propria crescita economica.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

Come cambia la privacy in Cina per le app: ecco le nuove regole della data protection

La nuova Disciplina, che entrerà in vigore dal primo Maggio 2021, è stata rilasciata congiuntamente dalla Cyberspace Administration of China (CAC), dal Ministry of Industry and Information Technology (MIIT), dal Public Security Bureau (PSB) e dallo State Administration for Market Regulation (SAMR).

Ai sensi della nuova Disciplina, l’utente potrà rifiutare di fornire i propri dati al di fuori di quelli ritenuti necessari per la fruizione dell’app mobile, senza che tale scelta condizioni la propria possibilità di utilizzare o meno il servizio. Le applicazioni, d’altro canto, potranno raccogliere le informazioni personali ex lege necessarie per garantire agli utenti l’accesso alle funzioni e ai servizi di base presenti all’interno del servizio.

La Disciplina trova applicazione per i tipi comuni di app mobile e, in aggiunta, copre anche le funzionalità e i servizi di base di un’ulteriore categoria di 39 app, fra cui si segnalano la messaggistica, lo shopping online, i pagamenti e i giochi mobile.

Entrando nel merito si osserva come, ad esempio per le app di shopping online, le informazioni personali considerate necessarie includono il numero di telefono dell’utente registrato, il nome personale o il nome utente del destinatario, l’indirizzo e il numero di contatto e le informazioni di pagamento.

Per quel che concerne l’ambito del ride-hailing, ovvero il più classico del servizio “taxi” (vettura e autista), i dati necessari interessano il numero di telefono dell’utente, il punto di partenza e la destinazione, la posizione e il luogo, le informazioni di pagamento tra cui il tempo, l’importo e il metodo.

Come si nota facilmente, le categorie di informazioni da dover necessariamente comunicare sono tali perchè inscindibilmente legate alla possibilità di fruire del servizio di trasporto che, in assenza di esse, non potrebbe essere garantito.

Il contesto precedente

L’importanza strutturale e strategica della Disciplina in esame si evince, in maniera nitida, esaminando il comportamento tenuto da alcuni operatori di app prima dell’intervento regolatorio. Comportamento che la nuova Disciplina ha voluto rivoluzionare.

Difatti, come testimoniato da un’indagine condotta dal Ministry of Industry and Information Technology (MIIT), più di 100 applicazioni digitali (tra cui la rinomata Tencent Holdings) hanno costantemente raccolto in maniera eccessiva i dati dei singoli, gestendoli malamente.

Esse hanno operato utilizzando lo stratagemma del “consenso in blocco”, ovvero la pratica di richiedere un singolo consenso per molteplici e variegate finalità, omettendo di fornire all’interessato la possibilità di granulare la propria scelta. Tale circostanza ha permesso, fino ad oggi, di raccogliere un numero non meglio precisato di informazioni senza alcuna limitazione in proposito.

Difatti, data l’assenza di un’indicazione regolamentare circa le informazioni che gli utenti dovevano fornire per accedere alle applicazioni, si era creato un contesto di vaghezza ed incertezza e, di conseguenza, i processi di elaborazione dei dati personali tout court da parte degli operatori non hanno mai incontrato alcun sostanziale sbarramento di carattere imperativo.

Tuttavia, accanto all’indubbia maggior tutela che la nuova Disciplina ha introdotto rispetto allo status quo, non si può non notare come si sia mancato di intervenire al fine di regolare il trattamento delle informazioni non necessarie.

In particolare, le nuove regole hanno omesso di specificare puntualmente come le informazioni personali non necessarie dovrebbero essere raccolte e utilizzate. Aspetti che, tuttavia, la nuova normativa Personal Information Protection Law (PIPL), di cui si parlerà nel prosieguo, dovrebbe indirizzare.

Ci si auspica, dunque, un ulteriore sforzo regolamentare per andare a definire i contorni di tale contesto, in un’ottica futura di garanzia completa del diritto alla riservatezza del singolo utente.[1]

Verso una nuova legge sulla data protection in Cina

Infatti – oltre alla Disciplina – il governo cinese ha in agenda la pubblicazione di una più ampia legge organica sulla data protection. Il 21 ottobre 2020, difatti, il legislatore cinese ha rilasciato in pubblica consultazione la bozza della Personal Information Protection Law (PIPL).

La normativa dovrebbe entrare in vigore nel 2021, e andrebbe a completare la disciplina cinese in materia di trattamento delle informazioni personali, accanto alle altre disposizioni sul tema (la Chinese Cybersecurity Law emanata nel 2016 e la bozza della Data Security Law of the People’s Republic of China su tutte).

Da un punto di vista di contesto, la stesura della PIPL si è resa obbligatoria per riorganizzare e riunire sotto un’unica disposizione le molteplici fonti normative sul tema presenti nel paese asiatico. Grazie a questa nuova norma, il governo cinese compie il primo importante passo del proprio percorso legislativo idoneo a renderlo uniforme rispetto a quanto prodotto sinora dagli altri continenti del globo, Europa in primis.

Quest’ultima, infatti, con il GDPR ha posto le fondamenta per la definizione di una puntuale e, da troppo tempo necessaria, disciplina organica in tema di protezione dei dati, acquisendo di diritto il ruolo di guida nella promozione di tale materia.

Il rapporto con il GDPR

La peculiarità della nuova norma di provenienza cinese è rappresentata indubbiamente dalla chiara ispirazione al GDPR. Evidenze in tal senso si hanno attraverso il raffronto della (seppur provvisoria) struttura concettuale sulla quale la PIPL poggia.

Difatti, analizzando la disposizione a livello di contenuto, si rilevano affinità in tema di definizione di dati personali all’art. 4, definizione di dati particolari all’art. 29, basi giuridiche all’art. 13 (quali consenso dell’interessato, contratto concluso tra le parti, interesse pubblico perseguito, obbligo legale da osservare e salvaguardia di interessi vitali dell’interessato), di applicazione extraterritoriale all’art. 3, di diritti riconosciuti all’interessato agli artt. 44 e ss, di condizioni del consenso all’art. 14 e di obblighi informativi all’art. 18.

Soffermiamoci anzitutto sul concetto di “informazioni personali”. Anche in questo caso, è evidente la correlazione concettuale con il GDPR. Difatti, così come per quest’ultimo, anche la PIPL contempla nella propria definizione legale varie informazioni idonee ad identificare o rendere identificabile una persona fisica.

Sul punto, salta subito all’occhio il riferimento al concetto di identificabilità diretta e indiretta tipica dell’approccio europeo.

Sono dati personali, dunque, non solo le informazioni che prese singolarmente sono idonee ad identificare immediatamente qualcuno, ma anche tutta quella serie di dati ch, incrociati con altri di natura differente, sono in grado di ricondurre ad uno specifico soggetto.[2]

Un ulteriore punto di contatto col GDPR è poi rappresentato dalla definizione dei dati particolari sancita dall’art. 29 PIPL.

Nel contesto cinese, questi ultimi assumono il titolo di “personal sensitive information”, ma, a prescindere dalla scelta del termine, anche in tale frangente si intravede l’attribuzione di un significato quanto più vicino a quello espresso dal GDPR.

Sulla stessa lunghezza d’onda, difatti, anche la PIPL riconosce i dati particolari come quel gruppo di informazioni idonee a rivelare taluni aspetti del singolo quali la razza, le convinzioni religiose, la nazionalità, lo stato di salute.

A fronte di una pressochè totale corrispondenza concettuale tra le diverse prospettive presentate, è interessante sottolineare la valorizzazione che il PIPL esprime rispetto alle conseguenze poste in essere dal trattamento di tali informazioni.

In particolare, secondo il testo della bozza, la natura “sensitive” verrebbe attribuita a quelle informazioni sopra citate che, una volta trattate in maniera illegittima, siano idonee a generare una discriminazione o un danno alla sicurezza della persona, sia in termini personali che di proprietà possedute.

In tale circostanza, si evince immediatamente lo stacco marcato rispetto al GDPR; difatti, quest’ultimo nulla statuisce circa le conseguenze che potrebbero venire in gioco a seguito di un utilizzo extra legem di tale categoria di informazioni, e tale dettaglio appare essere l’unico discrimine nel raffronto tra le due discipline sul tema dei dati particolari.[3]

La disciplina dell’informativa

Particolarmente interessanti risultano, poi, la tematica dell’informativa, da una parte, e del consenso, dall’altra. Entrambi gli ambiti risultano essere profondamente riformati ed innovati, se non effettivamente normati dal principio. Osservando il contenuto degli articoli 14-15-16-17-18, si comprende appieno lo spirito rivoluzionario che ha accompagnato la stesura di questa norma.

Le similitudini con la regolamentazione europea appaiono marcate anche in riferimento alla disciplina dell’informativa che i gestori del servizio sono tenuti a fornire all’interessato. Nel merito, l’articolo 18 PIPL prevede espressamente che l’informativa debba essere prodotta utilizzando un linguaggio chiaro e comprensibile.

Il contenuto della stessa deve prevedere:

  • l’identità del responsabile del trattamento;
  • le modalità attraverso le quali è possibile contattarlo;
  • lo scopo del trattamento, le categorie di informazioni personali trattate e il periodo di conservazione delle stesse;
  • i metodi e le procedure attraverso le quali gli individui sono in grado di esercitare I diritti riconosciuti dalla PIPL;
  • ulteriori elementi, non meglio precisati, che debbano essere illustrati ai sensi di leggi e regolamenti amministrativi.

Viene fatto obbligo per il gestore, altresì, di rendere pubbliche e facilmente leggibili le regole attraverso le quali il trattamento viene posto in essere.

Il consenso

Con riguardo, infine, al consenso, affinché un trattamento sia considerato legittimo, è necessario che il consenso dell’interessato sia fornito in maniera cosciente, volontaria ed espressa.

Altresì, laddove si verificasse un cambiamento nella finalità o nel metodo del trattamento, oppure ancora nella tipologia di informazioni personali trattate, sarà obbligatorio per il gestore ottenere nuovamente il suddetto consenso (art. 14 PIPL).

Rilevante è anche la prescrizione individuata dall’art. 16, il quale sancisce il diritto dell’interessato di poter revocare il consenso prestato, nell’ambito di quelle attività di trattamento improntate sulla necessità per il titolare di ottenere il consenso dei singoli individui. In merito, un’ulteriore precisazione viene fornita dal successivo articolo 17, il quale statuisce l’obbligo per i gestori del servizio di fornire lo stesso (e i prodotti annessi) anche nel caso in cui l’interessato non acconsenta al trattamento delle proprie informazioni personali o intenda revocare il consenso prestato per il trattamento.

L’unica eccezione emerge allorquando il trattamento delle informazioni personali sia necessario per la fornitura del prodotto o del servizio, tale per cui senza di esso non si potrebbero assicurare gli ultimi due.

In tema di consenso, da ultimo, rileva in maniera significativa anche la disciplina degli interessati minori di 14 anni; per questi ultimi, nel trattarne le informazioni personali, l’articolo 15 prevede espressamente che il gestore debba acquisire il consenso dei tutori (quindi, i genitori oppure i tutori legali del minore).

Nel complesso l’intera disciplina dell’acquisizione del consenso, anche per la fattispecie che coinvolge i minori di 14 anni, colpisce per la sua chiara attinenza con il contenuto del GDPR, in particolar modo per la valorizzazione della scelta libera, consapevole e volontaria dell’utente.

Conclusioni

In un mondo nel quale il progresso è sempre più dettato dalla capacità dei singoli paesi di sfruttare appieno il concetto di data driven, la Cina non ha alcuna intenzione di mancare all’appuntamento.

Con l’aggiornamento della propria disciplina in materia di data protection, essa indubbiamente si pone nel solco di quanto introdotto in Europa dal GDPR, dal quale è evidente come Pechino tenti di carpirne i principi strutturali e i valori.

Nonostante il processo sia solo agli albori, si può legittimamente affermare come il paese asiatico stia perseguendo un duplice obiettivo: da un lato, dare inizio ad un percorso di maggiore tutela dei dati dei singoli individui; dall’altro, espandere il ruolo dell’industria di Internet all’interno della propria crescita economica, assicurandosi al contempo anche di proseguire il controllo della propria economia digitale, contrastando in quest’ottica la raccolta dati da parte dei Big Tech.

E ciò in conformità con il GDPR, che si sta affermando in tutto il mondo (dalla California al Brasile fino alla Cina) come modello internazionale per la codificazione – anche in via indiretta – di previsioni volte alla protezione dei dati personali.

NOTE

  1. South China Morning Post, Data privacy: China defines for the first time “necessary” information tha apps can collect, closing “bundled consent” loophole, 2021.
  2. China: The Draft PIPL and the GDPR – A comparative perspective, 2021.
  3. KPMG, Overview of Draft Personal Information Protection Law in China, 2020.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3