Da oggi in Cina è in vigore una nuova legge sulla privacy che interessa molte aziende europee. Ecco a cosa prestare attenzione. L’analisi di Francesca Bassa, avvocato esperto in protezione dati e cybersecurity, e partner dello Studio bd LEGAL
Dal oggi (1° novembre, ndr) in Cina è in vigore la legge sulla privacy e molte aziende europee e internazionali dovranno prestarvi attenzione. Il seguente articolo andrà concentrarsi su alcune delle disposizioni di maggior rilevanza. La Personal information protection law (“Pipl”) è stata approvata ad agosto 2021 dal Comitato permanente dell’Assemblea nazionale del Popolo e presenta numerose analogie con il Regolamento generale sulla protezione dei dati dell’Unione europea (Gdpr), dal quale è stato necessariamente influenzato.
Alcune similitudini spiccano già a partire dal Capitolo I della Pipl (“Principi generali”), i cui articoli 5, 6, 7, 8 e 9, infatti, nel descrivere i principi che devono ispirare l’applicazione e interpretazione della norma, sembrano riassumere in larga parte il contenuto dell’articolo 5 del Gdpr sui “Principi applicabili al trattamento di dati personali”.
L’articolo 3 (Capitolo I) della legge Pipl è molto importante dal punto di vista pratico perché descrive l’ambito di applicazione territoriale. Si divide in due commi, il primo dei quali riguarda il trattamento dei dati che avviene all’interno della Cina. Questo comma prevede l’applicazione della norma a tutti i casi in cui siano trattati dati di persone fisiche localizzate in Cina. Per questa ragione un’impresa europea che tratti dati personali all’interno del territorio di questo Stato si deve necessariamente adeguare al Pipl.
Il secondo comma riguarda alcuni casi di applicazione della legge al di fuori del territorio cinese ed è ancora più rilevante. La legge a tal proposito prevede tre criteri tassativi: 1) quando lo scopo dell’attività è quello di fornire un prodotto o un servizio a quella persona fisica situata in Cina, ovvero quando si trova all’interno della Cina; 2) quando il trattamento avviene allo scopo di analizzare e valutare il comportamento di un soggetto localizzato in Cina e 3) in qualsiasi altra circostanza prevista dalla legge o dai regolamenti amministrativi. Si noti che il trattamento di dati all’interno dell’Unione europea potrebbe in questo senso rilevare.
Per quanto riguarda il primo criterio è evidente il richiamo all’articolo 3 paragrafo 2 lettera a) del Gdpr, anche se per comprendere la portata della norma cinese è necessario attendere l’interpretazione che verrà data dalla giurisprudenza. In relazione al secondo criterio invece, sembra che la norma abbia portata molto più ampia rispetto alla lettera b) dell’articolo 3 del Gdpr, che prevede l’applicazione per le attività di “monitoraggio”. Anche in questo caso, però, occorrerà attendere per cogliere l’interpretazione che verrà fornita dalla Cina.
Come per il Gdpr, anche nel Pipl il trattamento dei dati deve trovare fondamento nelle basi giuridiche elencate nell’articolo 13 (Capitolo II). In particolare il consenso al trattamento è disciplinato di concerto dagli articoli 14 e 15 e ne è prevista la revoca.
Tutto il Capitolo III del Pipl è dedicato alla descrizione delle regole per il trasferimento dei dati all’estero ed è forse uno di quelli chiave per le imprese europee. Non è sempre possibile trasferire dati al di fuori della Cina e il legislatore ci tiene a puntualizzarlo, stabilendo requisiti e condizioni particolari, che sono più gravose rispetto a quelle previste dal Gdpr. A norma dell’articolo 38, qualora sia necessario trasferire dati personali all’estero, il “personal information handler” può farlo solo per “business” o per non meglio precisati “other such requirements” e solo se si verifica una di quattro condizioni annoverate. Estremamente rilevante e rigorosa è la previsione cui al punto 1 dell’articolo 38 (“Passing a security assessment organized by the State cyberspace administration according to Article 40 of this Law”), in quanto l’articolo 40 prevede che coloro che trattino dati oltre una certa soglia (non meglio definita) debbano superare la valutazione di sicurezza (“security assessment”) della “State cyberspace administration”. Quanto appena descritto dice molto sulla scelta del legislatore cinese al trasferimento dei dati al di fuori del suolo statale e potrebbe avere un impatto particolarmente impegnativo in termini di compliance per le compagnie estere. In caso di mancato rispetto dei suddetti requisiti, l’autorità cinese a norma dell’articolo 42 (Capitolo III) è legittimata ad irrogare sanzioni, che possono anche consentire l’inserimento in una black-list, a seguito di cui viene limitata o impedita la possibilità per il soggetto estero di acquisire dati cinesi.
È importante approfondire anche gli articoli 41 e 43.
Il primo stabilisce che qualora i dati da trasferire all’estero siano sollecitati e giustificati da una richiesta da parte di autorità giudiziarie o di polizia estere, le suddette informazioni non possono comunque essere trasferite senza l’approvazione speciale dell’autorità cinese competente. Quanto al secondo articolo, è stabilito che se uno Stato o una regione estera applicherà “discriminatory prohibitions, limitations or other similar measures” ai danni della Cina, questa si riserva di applicare “retaliatory measures against said country or region on the basis of actual circumstances”.
Il Capitolo V indica poi una serie di obblighi per le aziende soggette al Pipl molto simili a quelle previste dal Gdpr, tra cui misure di sicurezza adeguate, la previsione di audit e di specifici assessment, una procedura data breach, la nomina di soggetti privacy (“Personal information protection officers”).
L’articolo 58 prevede una serie di adempimenti ad hoc, per tutte quelle aziende che processano grandi quantità di dati su larga scala, come gli “Internet Platform services”, che il legislatore cinese sceglie di trattare con particolare tutela.
Un’ ultima annotazione. Il Pipl si conclude al Capitolo VII con una parte dedicata alle sanzioni. La legge prevede che le violazioni delle norme di legge siano registrate e poi rese pubbliche.
Alla luce dell’analisi di cui sopra, tale legge dovrà essere presa in seria considerazione da tutte le aziende internazionali presenti in Cina o da quelle che intendano intraprendere futuri rapporti commerciali con il territorio cinese.
