TRASFERIMENTO DATI

Trasferimenti internazionali di dati: le nuove disposizioni cinesi sulle clausole contrattuali standard

Le nuove disposizioni cinesi (Draft Standard Contract Provisions on the Export of Personal Information) specificano le condizioni e i requisiti per l’utilizzo dello standard contrattuale (definito “Standard Contract”) per il trasferimento dati dalla Cina. Punti di contatto e differenze rispetto al corrispondente strumento europeo (SCC)

28 Lug 2022
B
Pietro Boccaccini

Director Deloitte Legal

P
Simone Prelati

Supervisor Deloitte Legal

Con riferimento alla nuova normativa cinese in materia di protezione dei dati personali – la Personal Information Protection Law (PIPL) – si è già avuto modo di approfondire, su questa rivista:

Le condizioni (previste dall’art. 38 PIPL) che i Personal Information Processor (PIP) – corrispondenti ai titolari del trattamento, usando le definizioni del GDPR – devono rispettare per poter trasferire dati personali verso destinatari situati al di fuori del territorio cinese sono le seguenti:

  1. superamento di un security assessment condotto dal Cyberspace Administration of China (CAC), conformemente all’art. 40 della PIPL e alle “Measures for Data Export Security Assessment” (rilasciate dal CAC il 7 luglio 2022 e applicabili dal primo settembre 2022);
  2. ottenimento di una certificazione da parte di un ente terzo che attesti la conformità con le disposizioni CAC in materia di data protection (le specifiche tecniche per la procedura di certificazione sono state rilasciate lo scorso aprile);
  3. conclusione di un contratto con il destinatario dei dati, in conformità allo standard contrattuale elaborato dal CAC che disciplini diritti ed obblighi di entrambe le parti (data exporter e data importer);
  4. altre condizioni previste da leggi e regolamenti amministrativi del CAC.

Con riferimento allo strumento contrattuale di cui al punto 3, il CAC ha emanato il 30 giugno 2022 le disposizioni (Draft Standard Contract Provisions on the Export of Personal Information) – in consultazione pubblica sino al 29 luglio 2022 – che disciplinano i requisiti per l’utilizzo dello Standard Contract, assimilabile, come strumento, alle clausole contrattuali standard approvate dalla Commissione europea. Il nuovo standard contrattuale elaborato dal CAC è disponibile (in lingua cinese) al seguente link.

Specularmente a quanto accade in Europa in base alla nostra normativa e all’orientamento delle autorità (cfr. in tal senso le Raccomandazioni dell’EDPB 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE), anche l’accesso “da remoto” da parte di soggetti esteri ai dati di cittadini cinesi risulta assimilabile ad un trasferimento di dati.

Da tale circostanza discende un significativo aumento dei casi in cui possono trovare applicazione le severe regole cinesi relative ai trasferimenti.

Trasferimenti cross border di dati da e verso la Cina: ecco le regole di compliance

Limiti all’uso dello Standard Contract

Non è sempre possibile fare ricorso allo standard contrattuale quale strumento per il trasferimento di dati fuori dal territorio cinese.

Le Società stabilite in Cina che intendono trasferire dati all’estero, quali data exporter, potranno infatti ricorrere allo Standard Contract solo ove le seguenti condizioni siano rispettate, con riferimento alla loro organizzazione:

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software
  1. non siano operatori di infrastrutture informatiche critiche (CIIO);
  2. non trattino dati relativi a più di 1 milione di interessati;
  3. dal primo gennaio dell’anno precedente non abbiamo effettuato trasferimenti all’estero: (i) di dati personali “comuni” superiori a 100.000 interessati; o (ii) di dati personali sensibili (“sensitive PI”) superiori a 10.000 interessati.

Dunque, le società che intendano trasferire dati all’esterno della Cina sulla base dello Standard Contract dovranno innanzitutto verificare quanto sopra.

Nel caso in cui l’exporter rientri nella qualifica di CIIO o le proprie attività di trattamento o di trasferimento superino i volumi previsti, la società dovrà sottoporsi al security assessment del CAC.

Il Personal Information Protection Impact Assessment

Le società che intendano utilizzare il nuovo standard contrattuale per trasferire dati dovranno preliminarmente svolgere la cosiddetta Personal Information Protection Impact Assessment (PIPIA), oltre a richiedere il consenso degli interessati. Il report di PIPIA, unitamente allo Standard Contract sottoscritto, deve essere depositato presso l’ufficio provinciale del CAC entro 10 giorni dalla sottoscrizione del contratto.

Il contenuto della PIPIA è espressamente disciplinato dal Draft Standard Contract Provisions on the Export of Personal Information, che richiede agli exporter di focalizzarsi su specifici contenuti che occorre precisare, tra cui anche:

  1. legalità, legittimità e necessità delle finalità e dei mezzi del trattamento del PIP e del destinatario dei dati;
  2. quantità, tipologia, sensibilità dei dati da trasferire e rischi potenziali che l’esportazione dei dati può comportare per i diritti degli interessati;
  3. responsabilità e obblighi assunti dal destinatario dei dati, nonché misure tecniche e capacità gestionali dell’esportatore per garantire la sicurezza dei dati;
  4. impatto che le norme a protezione dei dati del Paese ove ha sede il destinatario estero possono avere sull’esecuzione e sul rispetto delle disposizioni dello Standard Contract.

Svolgendo qui, incidentalmente, un confronto tra la DPIA (Data Protection Impact Assessment) prevista dall’art. 35 del GDPR e la PIPIA prevista dalla legge cinese risulta evidente come lo “strumento” europeo consente grande flessibilità nel suo utilizzo, essendo la valutazione d’impatto richiesta nei casi – non tipizzati e potenzialmente illimitati – di “rischio elevato del trattamento”, mentre invece il legislatore cinese ha voluto definire le situazioni in cui è necessario effettuare la valutazione d’impatto: non solo in caso di trasferimenti cross-border, ma anche in altre situazioni (tra altre, trattamento di dati sensibili o trattamento finalizzato a prendere decisioni automatizzate).

Il GDPR, invece, non prevede specificamente una procedura per valutare l’impatto dei trasferimenti; in tal senso, è intervenuta prima la Corte di Giustizia europea (con la sentenza Schrems II), poi l’EDPB (con le proprie raccomandazioni 1 e 2 del 2020) e, infine, la Commissione UE, con l’adozione delle nuove standard contratual clauses (SCC), che hanno “cristallizzato” l’obbligo di svolgere questo tipo di valutazione, almeno nei casi in cui si faccia ricorso alle SCC per il trasferimento dei dati tra parti.

Standard Contract cinese e clausole standard europee: differenze

Le clausole dello Standard Contract coprono sostanzialmente tutti gli aspetti valutati nella PIPIA, con alcuni elementi in più e in particolare:

  1. informazioni di base dell’exporter e del destinatario estero (e.g. ragione sociale, sede, dati delle persone di contatto ecc.);
  2. finalità, ambito e mezzi del trattamento, tipologia, sensibilità, quantità, periodo e luogo di conservazione dei dati esportati;
  3. responsabilità e obblighi dell’exporter e dei destinatari in materia di protezione dei dati, nonché misure tecniche e organizzative adottate per prevenire i rischi per la sicurezza dei dati (es. crittografia, anonimizzazione, controllo degli accessi);
  4. impatto che le norme in materia di protezione dei dati personali del Paese dell’importer possono avere sul rispetto delle clausole dello Standard Contract;
  5. diritti degli interessati, nonché mezzi adottati per il loro rispetto;
  6. strumenti di tutela azionabili, responsabilità per la violazione del contratto, meccanismi di risoluzione delle controversie eccetera.

L’attuale bozza dello Standard Contract, che si compone di un corpo principale, avente ad oggetto le clausole chiave, e di un’appendice in cui indicare le misure supplementari, risulta molto simile alle nuove SCC adottate dalla Commissione Europea, con alcune differenze.

In primo luogo, sia il Draft Standard Contract Provisions on the Export of Personal Information (nella disposizione che disciplina la PIPIA) che lo Standard Contract richiedono all’exporter e all’importer di valutare l’impatto delle politiche e delle normative in materia di protezione dei dati personali del Paese dell’importer sull’esecuzione delle clausole dello Standard Contract, in linea con le indicazioni fornite dalla Corte di Giustizia europea nella sentenza Schrems II, con gli orientamenti dell’EDPB in materia e con le nuove SCC.

Tale valutazione può, dunque, essere considerata assimilabile al Transfer Impact Assessment (TIA) che i data exporter europei devono effettuare prima di trasferire i dati in paesi terzi non destinatari di una decisione di adeguatezza della Commissione Europea.

In secondo luogo, viene richiesto alle parti dello Standard Contract di indicare le misure adottate di tipo tecnico e organizzativo tese a mitigare i rischi connessi al trasferimento, similmente alle SCC europee.

Tra le principali differenze, si segnala la presenza di un unico modello di Standard Contract, contrariamente alle Standard Contract Clauses, che prevedono quattro differenti moduli, da utilizzare in base ai ruoli privacy ricoperti dalle parti (controller to controller, controller to processor, processor to controller, processor to processor).

Inoltre, sono previste forti limitazioni per il trasferimento successivo dei dati ad opera del destinatario estero nei confronti di ulteriori soggetti situati fuori dalla Cina. In particolare, tra le condizioni da rispettare, congiuntamente, vi sono:

  1. l’esistenza di una reale necessità di business per il trasferimento;
  2. un’adeguata informativa e l’acquisizione di un consenso;
  3. la conclusione di un contratto con la terza parte importatrice dei dati, la quale deve garantire uno standard di protezione dei dati equivalente e assume una responsabilità solidale con il primo importatore.

Una copia dell’accordo relativo al trasferimento successivo con la terza parte deve inoltre essere fornita all’esportare con sede in Cina

Conclusioni

Dall’entrata in vigore della nuova legge privacy cinese, le autorità locali hanno pubblicato diversi provvedimenti, fornendo linee guida e strumenti per dare attuazione ai meccanismi di trasferimento dei dati. Tali integrazioni riguardano anche le clausole contrattuali standard da adottare eventualmente tra parti.

Il nuovo Standard Contract presenta alcuni vantaggi rispetto agli ulteriori meccanismi di trasferimento, rappresentando, per le società stabilite in Cina, un meccanismo apparentemente fruibile per i trasferimenti cross-border. Tuttavia, come si è visto, gli adempimenti che occorre porre in essere sono numerosi, peraltro sotto il controllo dell’autorità, e si differenziano da quelli previsti dal framework europeo.

Ciò che accomuna, sostanzialmente, lo strumento contrattuale cinese a quello recentemente introdotto a livello europeo (le nuove SCC) è la necessità di provvedere ad una valutazione di impatto sul trasferimento, volta a verificare la necessità di integrazione degli obblighi di protezione dei dati previsti nel contratto con ulteriori misure (soprattutto tecniche, ma anche legali e organizzative), in base a quanto emerge dal complesso esame di una serie di fattori e al loro bilanciamento, tra cui soprattutto le circostanze del trasferimento (quantità di dati, loro caratteristiche ecc.) e le specificità del paese (e del soggetto) destinatario dei dati.

Le società europee che hanno acquisito dimestichezza, post Schrems II, con lo svolgimento di valutazioni di impatto sui trasferimenti e con la formalizzazione delle nuove clausole contrattuali standard si troveranno in condizione di affrontare con un certo grado di esperienza gli obblighi imposti dal framework cinese – ove questo trovi applicazione (ad esempio nell’ambito di gruppi multinazionali), anche a livello extraterritoriale – benché occorra tenere in debito conto, in tale diverso contesto, la forte presenza dell’autorità nell’iter approvativo e, elemento non irrilevante anche in ottica commerciale, il relativo controllo sulle informazioni.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5