PIPL, anche la Cina adotta la legge sulla Data Protection

Il 2021 è stato un anno importante per la tematica Data Protection, anche perché la Cina ha adottato la PIPL: ecco cosa dice la legge sulla privacy in Cina

Foto di Donatella Maisto

Donatella Maisto

R&D Director at Blockchain Revolution

Esperta Blockchain e digital transformation, tech-human need e sostenibilità nella sua accezione contemporanea. R&D Director di Blockchain Revolution

Prima di evidenziare gli elementi che caratterizzano la PIPL, preme fare alcune considerazioni di carattere globale. Questa introduzione vorrebbe fornire elementi importanti per capire i riflessi che la PIPL avrà in Cina e nel resto del mondo e come impatterà sugli equilibri generali mondiali.

Da privacy ad antitrust, i riferimenti normativi

La vivacità della tematica oggetto di questo articolo è particolarmente accentuata dal fatto che si inserisce nella modulazione della strategia digitale dell’Unione Europea ed è direttamente proporzionale al fermento normativo, sia sotto il profilo della tematica della privacy che dell’antitrust, a cui si è assistito nel corso del 2021 e che proseguirà nel 2022.

Tra gli atti più importanti citiamo:

  • Digital Services Act (c.d. DSA), per assicurare trasparenza e correttezza nell’offerta di servizi digitali, al voto presso il Parlamento europeo, mentre viene pubblicato questo articolo
  • Digital Markets Act (c.d. DMA). Il 15 Dicembre 2021 vi è stato il via libera da parte del Parlamento Europeo per l’avvio dei negoziati con i Governi UE sulle norme che stabiliscono ciò che le grandi piattaforme online potranno fare e non fare nell’UE. Questa proposta di legge sui mercati digitali proibisce alcune pratiche utilizzate dalle grandi piattaforme che agiscono come gatekeeper e permette alla Commissione di realizzare indagini di mercato e di sanzionare i comportamenti non conformi. Il testo è stato approvato con 642 voti favorevoli, 8 contrari e 46 astensioni
  • Data Governance Act (c.d. DGA). Sempre a Dicembre 2021 la Commissione Ue ha approvato l’accordo politico giunto tra il Parlamento e il Consiglio per dare avvio a una legge sulla governance dei dati, per creare un quadro conforme alle norme afferenti alla protezione dei dati personali, alle regole della concorrenza e alla tutela dei consumatori
  • Regolamento e-Privacy, dopo la sua approvazione, andrà a precisare e integrare il GDPR, a tradurne i principi in regole specifiche. Introdurrà, inoltre, delle norme relative a materie che non rientrano nell’ambito di applicazione del GDPR e tutelerà anche le persone giuridiche. L’applicabilità territoriale del Regolamento sarà la stessa del GDPR, quindi varrà non solo per le imprese europee, ma anche al di fuori dei confini dell’Unione
  • Network and Information Security (NIS) Directive (c.d. NIS II). La Direttiva Europea sulla Sicurezza dei Sistemi Informativi e delle RetiNIS I – è entrata in vigore nel 2016 con l’obiettivo di stabilire un elevato livello di sicurezza informatica in tutti paesi europei. Molteplici i cambiamenti decorsi in questi 5 anni, che hanno indotto la Commissione Europea a mettere a punto una nuova proposta per introdurre delle misure di supervisione più stringenti rispetto alle attuali, inserendo anche sanzioni amministrative di elevato livello e si auspica un’accresciuta cooperazione a livello europeo, fondando una nuova organizzazione, chiamata European Cyber Crises Liaison Organization Network (EU-CyCLONe), con il preciso incarico di gestire, in modo coordinato, attacchi informatici su larga scala, che possono coinvolgere l’intera Unione europea.
  • AI Act. Dopo la proposta di Regolamento Europeo sull’Intelligenza Artificiale dell’aprile 2021, la Commissione è tornata sul tema della responsabilità per i danni nell’era digitale con una consultazione aperta al pubblico fino al 10 gennaio 2022.

Mentre l’Unione Europea è chiaramente impegnata nello sviluppare un proprio sistema regolatorio, che favorisca la capacità europea di essere un importante mediatore tra USA e Cina, gli USA sembrano più interessati a contenere l’espansionismo cinese, invece di costruire un tessuto normativo univoco, che consenta uno sviluppo sinergico e costruttivo volto a creare un unico linguaggio universale.

Un altro elemento che va evidenziato è che la Data Protection, sebbene abbia, soprattutto per l’Europa, come centro nodale, la tutela di un diritto fondamentale, sta, però, piano piano, cambiando abito, diventando l’ecosistema entro il quale si relazionano i vari soggetti, in un contesto squisitamente digitale. Emerge, quindi, la necessità di non focalizzare solo l’attenzione sull’aspetto regolatorio, ma è necessario ampliare la visione anche sull’impatto che l’infrastruttura ha sulla continua trasformazione tecnologica e sull’economia reale.

Nel tentativo di realizzare e promuovere un mercato unico digitale a livello globale non si può tralasciare il ruolo della Cybersecurity e la necessità di una regolazione globale e condivisa delle reti ICT, per assicurare la libera circolazione dei dati nel mondo digitale.

Il nuovo framework normativo cinese

La Personal Information Protection Law of the People’s Republic of China (PIPL), entrata in vigore 1° novembre 2021, insieme alla legge sulla Cybersecurity, in vigore dal 1° Giugno 2017 e alla Data Security Law, in vigore dal 1° settembre 2021, costituiscono il nuovo framework normativo, che regolamenta la sicurezza e il trattamento dei dati personali in Cina.

La PIPL si inserisce nel quadro normativo finalizzato a regolamentare il settore tecnologico su questioni come le pratiche anticoncorrenziali e la sicurezza dei dati personali.

La Cina, nel mese di febbraio 2021, ha anche rilasciato nuove linee guida volte a contrastare i monopoli, che hanno avuto forti impatti sui giganti dell’e-commerce nel Paese, come Alibaba e Tencent. Alibaba, si ricorda, è stata sanzionata per condotta anticoncorrenziale con una delle sanzioni più pesanti mai inflitte dalle autorità cinesi, pari a 2,8 miliardi di dollari.

Con l’approvazione della PIPL, la Cina si è avvicinata al modello europeo del GDPR, da cui trae ispirazione, e ha previsto disposizione ed obblighi applicabili a tutti i soggetti che operano, direttamente o indirettamente, nel mercato cinese.

La PIPL consta di 74 articoli, contenuti in 8 capitoli, partendo dai principi fondamentali del trattamento delle informazioni personali sino al regime sanzionatorio. La PIPL si occupa anche delle modalità con cui è possibile trasferire dati personali all’estero.

Nell’articolo 12 della PIPL la Cina si dichiara disponibile a partecipare a gruppi di lavoro internazionali, per coordinare le proprie disposizioni legislative sulla protezione dei dati, con quelle che sono già in vigore in altri Paesi.

Lettura sinergica del quadro legislativo cinese

La PIPL ruota intorno al principio della informativa agli interessati e dell’ottenimento del loro consenso come elementi essenziali su cui si fonda la legittimità della raccolta e dell’utilizzazione delle informazioni riconducibili alla categoria dei dati personali.

Sono, inoltre, ripresi i principi di minimizzazione dei dati e l’obbligo della loro cancellazione, quando vengano meno le basi legali per la loro utilizzazione e conservazione, come nel GDPR.

Le sanzioni sono rilevanti nei confronti dei titolari che utilizzano, senza base legale, i dati personali di terzi con l’introduzione della previsione della responsabilità personale, anche in capo al soggetto direttamente responsabile del trattamento illecito, che può vedersi comminata una sanzione pecuniaria rilevante a partire da 100.000 a un milione di yuan.

Come già evidenziato in premessa, la peculiarità della PIPL è rappresentata dal fatto che deve essere coordinata con la Cybersecurity Law e la Data Security Law (DSL).

Quindi una analisi della PIPL non può avvenire in maniera isolata per comprenderne la portata, ma in sinergia con gli altri atti citati, in modo che ci sia una disciplina condivisa e coordinata sulla base di tre categorie di dati, ovvero: i “core data of State”, gli “important data” e i “general data”.

“Core Data of State” e “Important Data”

I “Core Data of State” riguardano la sicurezza nazionale. Sono gli assi portanti dell’economia e dei mezzi di sostentamento della popolazione e quelli relativi alle maggiori attività di interesse pubblico. Le violazioni relative ai trattamenti di questi dati prevedono sanzioni fino a 1 milione e mezzo di dollari, la sospensione delle attività, la revoca delle eventuali licenze concesse e in alcuni casi si ricade anche nella responsabilità penale.

Gli “Important Data”, ovvero le informazioni cd. rilevanti, già previste dalla Cybersecurity Law, anche se in realtà trattati nelle Measures on Security Assessment of the Cross-border Transfer of Personal Information (“Draft Measures”), sono le informazioni che riguardano la sicurezza nazionale, lo sviluppo economico e gli interessi sociali e pubblici, suscettibili, in caso di diffusione, perdita, distruzione, utilizzo non autorizzato, di cagionare gravi danni alla sicurezza nazionale, alle relazioni diplomatiche, all’economia nazionale, agli interessi sociali e pubblici, alle forze dell’ordine o alle infrastrutture critiche.

Si prevede che le reti di operatori adottino specifiche e adeguate misure di backup e di cifratura per la loro tutela. Inoltre, i titolari di trattamenti di “Important Data” devono nominare i relativi responsabili e istituire appositi dipartimenti interni per il loro trattamento. Infine, devono assicurare regolari attività di risk assestements e trasmettere i relativi risultati alle autorità competenti.

È da evidenziare che la legislazione cinese in materie di sicurezza dei dati e, in particolare, di cybersecurity, deve tener conto della possibilità di promulgazioni di atti regionali adottati da organismi locali, anche se vincolati al rispetto di regole e misure uniformi, stabilite a livello centrale, secondo quanto previsto nell’art.15 della DSL.

Tre aspetti da evidenziare

Tutela dei General Data

La Cina ha focalizzato la sua attività normativa non solo sulla protezione dei dati personali, ma anche sulla tutela dei “General Data“, ovvero, come vengono definiti nel DSL, “any records of information in electronic or other forms”, quindi “record di informazioni in formato elettronico o in altri formati” comunque trattate.

Tutela della sovranità digitale

Un altro aspetto da evidenziare è la tutela della sovranità digitale della Repubblica popolare cinese, ex art.1 DSL, secondo il quale “In order to ensure data security, promote data development and use, protect the lawfull rights and interest of citizens and organizations, and safeguard national security, and development interests, this Law is formulated”. Dove l’art. 2 precisa “this law is applicable to the conduct of data activities within the mainland territory of the people’s Republic of China”.

Nel momento in cui vi è il trasferimento dei dati all’estero il DSL distingue tra i requisiti che devono essere rispettati da chi opera nell’ambito della “Critical Information Infrastructure” (CII) e chi, invece, non opera nell’ambito CII.

Chi opera nell’ambito CII deve rispettare la Cybersecurity Law, nel quadro dell’obbligo di conservazione nel territorio dei relativi dati. Quando si rende necessario il trasferimento dei dati all’estero è necessario operare tenendo conto di specifici Impact Assessment, definiti, in modo congiunto, dalla Cyberspace Administration of China (CAC) e dai competenti dipartimenti del Consiglio di Stato.

In ogni caso è vietato severamente il trasferimento di qualunque dato all’estero, anche a favore di autorità di enforcement straniere o di autorità giudiziarie fuori della Cina, senza una apposita autorizzazione formale del governo cinese.

Senza previa autorizzazione il titolare può essere condannato a una sanzione fino a 1 milione e 560.000 dollari. Se il trasferimento causa serie conseguenze la sanzione può arrivare fino a 15.6 milioni di dollari, alla quale si può aggiungere la sospensione della licenza dell’attività commerciale.

Data security

Il terzo aspetto importante è che la “Data security” comporta che, come precisa l’art. 4, “In ensuring data security, the overall national security concept shall be upheld, the security governance systems shall be established and completed, and data security protection capabilities increased”.

La necessità di armonizzare le disposizioni emanate da più organi con diversa preponderanza gerarchica e che impattano su contesti diversi è una priorità del governo cinese. Questa priorità emerge in tutta la sua essenza in questo sistema volto ad assicurare una forte tutela dei dati a tutto il territorio dello Stato, con l’obiettivo strategico e prioritario di garantire la sovranità digitale cinese.

Quindi lo Stato e il potere politico sono i garanti della tutela dei dati e della sovranità digitale del sistema.

C’è chi si chiede se la PIPL, così come strutturata, si configuri come specchietto per le allodole per accelerare e rafforzare la costruzione della “nuova via della seta” e quindi per penetrare il mercato europeo ICT, in maniera indiretta. Al contempo, però, c’è chi asserisce che proprio il costrutto del PIPL sia di per sé un ostacolo all’implementazione degli scambi commerciali tra Europa e Cina.

I contenuti principali della PIPL

Il Capitolo I della PIPL individua i principi che devono essere rispettati nel trattare i dati personali.

Ambito di applicazione

L’art. 3 definisce l’ambito di applicazione della normativa. Questa trova applicazione a qualsiasi trattamento di dati personali, eseguito anche al di fuori della Repubblica Popolare Cinese, qualora questo trattamento sia finalizzato a fornire prodotti o servizi a persone fisiche situate in Cina.
Quindi il trattamento di dati personali potrà essere effettuato solo per finalità determinate, potrà coinvolgere unicamente i dati personali strettamente necessari al raggiungimento di tale finalità e deve ispirarsi al principio di trasparenza, che si correla all’art. 24, che dispone che il titolare del trattamento non debba ricorrere a processi decisionali automatizzati, qualora questi abbiano conseguenze pregiudizievoli per gli interessati nella determinazione dei prezzi o ad altre condizioni di acquisto.

La PIPL si applica nei casi in cui:

  • il trattamento dei dati personali avviene all’interno del territorio cinese, indipendentemente dal fatto che il trattamento sia posto in essere da aziende cinesi o da affiliate locali di società multinazionali se l’organizzazione ha sede in Cina;
  • il trattamento dei dati personali avviene al di fuori della Cina laddove la finalità del trattamento sia quella di fornire prodotti e servizi a persone fisiche situate in Cina o quella di svolgere attività di analisi e valutazione del comportamento delle persone fisiche in Cina;
  • nelle altre circostanze previste da leggi e regolamenti amministrativi. Le imprese, con sede al di fuori dalla Cina, hanno, altresì, l’obbligo di nominare un rappresentante o di stabilire un ente in Cina.

I principi

Il trattamento deve rispettare i principi di trasparenza, liceità, buona fede, necessità e minimizzazione, anche se la PIPL fa una distinzione tra gli ultimi due principi. Il principio di necessità è generalmente applicabile a tutte le attività di trattamento, mentre il principio di minimizzazione dei dati si applica specificamente alla raccolta di dati personali.

Nel PIPL è esplicitata la buona fede, principio giuridico fondamentale nel diritto civile cinese.

Il principio di trasparenza comporta la necessità di informare gli interessati sulle modalità di trattamento dei dati personali, con modalità concise, facilmente accessibili, facili da capire e in un linguaggio chiaro e semplice.

Liceità del trattamento

L’articolo 5 richiede che le informazioni personali siano trattate in modo lecito, soddisfacendo le condizioni previste dalla legge. Prima della PIPL, la normativa cinese basava la liceità del trattamento principalmente sul consenso, se non diversamente previsto dalle leggi e dai regolamenti amministrativi.

Le basi giuridiche della PIPL

La PIPL prevede, invece, diverse basi giuridiche per il trattamento dei dati personali:

  • consenso;
  • conclusione o esecuzione di un contratto con gli interessati o gestione delle risorse umane in conformità ai regolamenti sul lavoro adottati per legge e ai contratti collettivi;
  • adempimento di obblighi stabiliti dalla legge;
  • risposta ad un’emergenza sanitaria pubblica o per proteggere, in caso di emergenza, la vita, la salute o la proprietà di una persona fisica;
  • cronaca, opinione pubblica nel pubblico interesse;
  • trattamento di informazioni rese pubbliche dagli stessi interessati;
  • altre circostanze previste da leggi e regolamenti. A differenza del GDPR, non è previsto il legittimo interesse come base giuridica per il trattamento.

È fondamentale per le aziende identificare l’opportuna base giuridica, che legittima i trattamenti di dati personali posti in essere e verificare gli specifici adempimenti, perché la normativa cinese:

  • richiede in alcuni casi un consenso separato
  • prevede condizioni specifiche in relazione al trattamento di dati personali sensibili
  • disciplina in modo specifico il trattamento dei dati personali dei minori.

Qualità delle informazioni e sicurezza

La PIPL dispone, altresì, che nel trattare i dati personali sia garantita la qualità delle informazioni. Occorre, quindi, predisporre le misure adeguate a garantire che tutti i dati personali siano accurati, completi e aggiornati.

L’articolo 9 della PIPL prevede che i titolari del trattamento siano responsabili delle attività di trattamento delle informazioni personali e debbano adottare le misure necessarie per garantirne la sicurezza. Deve essere, quindi, garantita la qualità delle informazioni.

Oltre alla concreta adozione delle misure di sicurezza devono essere predisposti dei meccanismi finalizzati a dimostrare la conformità alla normativa, formalizzando policy, procedure, sistemi per la conservazione dei log e implementando attività di formazione.

È necessario nominare un “Personal Information Officer”, figura simile al nostro DPO, anche se nella PIPL non sono previste specifiche caratteristiche e competenze per ricoprire questo ruolo.

Consenso

Come emerge dall’art. 13 una importante differenza con il GDPR è determinata dalla non previsione del legittimo interesse come base giuridica del trattamento.

All’art. 14 la PIPL disciplina il consenso prevedendo che, qualora il titolare del trattamento utilizzi il consenso come base giuridica del trattamento, tale consenso dovrà essere rilasciato separatamente nei casi in cui:

  • il titolare trasmetta le informazioni ad un soggetto terzo;
  • il titolare intenda divulgare le informazioni;
  • i dati siano raccolti in aree pubbliche per la salvaguardia di pubblici interessi (es. raccolta immagini con sistemi di CCTV);
  • il trattamento riguardi “sensitive personal data”
  • venga effettuato un trasferimento di dati personali al di fuori della Cina.

L’assenza di una specifica definizione di consenso separato induce a reputare che tale consenso debba essere richiesto come ulteriore rispetto a quello “generale” raccolto in relazione al trattamento dei dati personali del soggetto interessato.

Trasferimento dei dati personali al di fuori dei confini

Il Capitolo III della PIPL disciplina il trasferimento di dati personali al di fuori dei confini territoriali cinesi, stabilendo stringenti requisiti affinché tali trasferimenti possano legittimamente essere effettuati.

Il trasferimento di dati personali al di fuori del territorio cinese non può avvenire liberamente, ma deve soddisfare alcune condizioni:

  • ottenere il consenso, informato, separato, dell’interessato, laddove il consenso sia la base giuridica del trattamento;
  • effettuare una valutazione dell’impatto;
  • soddisfare una delle quattro condizioni speciali.

Tra le condizioni speciali richieste per un lecito trasferimento dei dati sono indicate:

  1. il superamento di un security assessment effettuato dal dipartimento statale per il Cyberspazio (State Cyberspace Administration). La PIPL estende il campo di applicazione della localizzazione e del requisito del security assessment previsto nella Cybersecurity Law, prevedendo che gli operatori di infrastrutture informatiche critiche (“CIIOs”) e i titolari il cui trattamento raggiunge una certa quantità, debbano conservare le informazioni personali raccolte e generate in Cina all’interno del territorio cinese;
  2. l’ottenimento di una certificazione di protezione delle informazioni personali. Al momento, il testo normativo non specifica come ottenere tale certificazione;
  3. la conclusione di un contratto con il destinatario in conformità con il contratto standard formulato dal dipartimento statale per il Cyberspazio e l’informatizzazione. Al momento non risulta fornito lo standard, ma ci si aspetta che venga reso disponibile a breve e dovrebbe essere simile alle clausole contrattuali tipo (SCCs);
  4. il soddisfacimento di altre condizioni prescritte da leggi, regolamenti amministrativi o dal dipartimento statale per il cyberspazio e l’informatizzazione.

La PIPL stabilisce che i dati personali conservati in Cina non debbano essere forniti alle autorità giudiziarie o di polizia al di fuori della Cina, senza l’approvazione dell’autorità cinese competente. È importante, quindi, che le aziende:

  • verifichino la necessità di trasferire dati personali al di fuori della Cina;
  • ottengano e conservino il consenso informato separato degli interessati prima del trasferimento in tutti i casi in cui la base giuridica del trattamento è il consenso;
  • stabiliscano meccanismi di valutazione dell’impatto della protezione dei dati personali per il trasferimento, conservando il report della valutazione e la registrazione del trasferimento il periodo di tempo indicato dalla normativa;
  • verifichino quale delle condizioni speciali risulta applicabile;
  • controllino eventuali leggi e regolamenti che prevedono restrizioni al trasferimento o speciali adempimenti.

Affinché le informazioni personali possano essere trasferite al di fuori della Cina, è richiesto, lo ripetiamo, al titolare di soddisfare almeno una delle condizioni previste dall’art. 38 della PIPL:

  • il superamento di un assessment relativo alla sicurezza, condotto dalla Cyberspace Administration of China (CAC);
  • l’ottenimento di una certificazione relativa alla sicurezza rilasciata da un organismo accreditato secondo schemi definiti dal CAC;
  • sia stato stipulato un accordo con il destinatario straniero sulla base di uno “standard agreement” definito dal CAC, a garanzia che ai dati personali trasferiti siano riconosciute tutele equivalenti a quelle previste dal PIPL;
  • il trasferimento sia conforme ad altre leggi o regolamenti stabiliti dal CAC.

Secondo quanto previsto dal PIPL non tutti i titolari potranno basare i trasferimenti di dati extra Cina attraverso lo “standard agreement”. L’art. 40 del PIPL, infatti, prevede che gli operatori di infrastrutture critiche o che trattano dati personali in quantità superiori a quelle previste dal CAC possano effettuare il trasferimento solo dopo il superamento dell’assessment di sicurezza condotto da CAC stesso. Qualora tali soggetti non si sottopongano alla valutazione di sicurezza del CAC o questa abbia esito negativo, nessun trasferimento di dati personali extra Cina potrà essere effettuato.