Il 1° novembre 2021 entrerà in vigore la Personal Information Protection Law, la nuova legge sulla protezione dei dati personali adottata dal governo cinese. Scopriamo insieme quali sono le novità in materia di privacy che i colossi tecnologici dovranno fronteggiare.

La Cina è una delle destinazioni più gettonate per le imprese internazionali e costituisce, oggigiorno, il primo esportatore e il secondo importatore a livello globale. Si tratta di un mercato in cui il Made in Italy è molto apprezzato, soprattutto per i settori appartenenti alle 3F, Fashion, Furniture e Food&Beverage, richiesti in particolare dall’emergente middle-class cinese.

A rendere il mercato Oltre Muraglia estremamente competitivo e, al tempo stesso, più accessibile per coloro che detengono le risorse necessarie, è sicuramente l’alto tasso di digitalizzazione del Paese: complici anche le misure di contenimento dovute al Covid-19, l’elevata diffusione di internet tra la popolazione (65,2%) e le sette ore di media che gli utenti cinesi spendono in rete, le piattaforme digitali e l’e-commerce sono diventati i canali preferenziali per raggiungere i consumatori.

L’implementazione dei touchpoints digitali, tuttavia, porta con sé ulteriori tematiche che, durante gli anni, hanno destato sempre di più l’interesse del governo cinese e su cui tanto si è tanto dibattuto di recente, soprattutto in rete: la regolamentazione del traffico dei dati personali all’interno della Repubblica Popolare Cinese.

La sicurezza dei dati in Cina: la Cybersecurity Law (CSL), la Data Security Law (DSL) e la Personal Information Protection Law (PIPL).

Quest’attenzione si è tramutata in un arsenale normativo a tutela della sicurezza informatica e dei dati, delineatosi già a partire dal 2017 grazie all’entrata in vigore della Cyber Security Law (CSL) e completato dalla Data Security Law (DSL) del 1° settembre 2021 e la neonata Personal Information Protection Law (PIPL), approvata il 20 agosto ed in vigore dal 1° novembre di quest’anno.

Se, da un lato, la Cyber Security Law impone l’obbligo di una valutazione della sicurezza sui dati da parte di infrastrutture informatiche critiche, la Data Security Law li classifica in una sorta di tassonomia nella quale si possono trovare le definizioni di “dato principale”, inteso come qualsiasi informazione riguardante la sicurezza nazionale ed economica del Paese, il benessere dei cittadini e un interesse pubblico di natura rilevante, e quella di “dato fondamentale”, per il quale non si trova una definizione precisa. Ben chiare, invece, sono le ripercussioni per la violazione di quest’ultimi da parte delle organizzazioni che prevedono la sospensione delle loro attività a tempo indeterminato e sanzioni per 1 milione di Yuán 元.

La Personal Information Protection Law, d’altro canto, in linea con le precedenti leggi, si applicherà a piccole e grandi società, nazionali o estere, e ad enti appartenenti ai settori di telecomunicazioni, informazione, servizi pubblici e finanziari, energia, cloud compunting, trasporti e big data, con siti internet con più di 1 milione di visitatori al giorno e piattaforme digitali con più di 10 milioni di registrazioni.

Tra gli articoli si trova la definizione di “dati personali” e “dati sensibili”: i primi sono definiti come tutte le informazioni utili all’identificabilità dell’individuo, tra cui nome e data di nascita, i dati biometrici e pseudonimizzati (non quelli anonimizzati perché non permettono di risalire all’identità dell’utente) e così via; i secondi sono tutte quelle informazioni che possono compromettere i diritti degli utenti in termini di origine etnica, stato di salute e finanziario e credo religioso.

La PIPL è, probabilmente, la legge che più va ad impattare sull’operatività delle imprese e delle piattaforme digitali, sia cinesi che straniere, che detengono il proprio business Oltre Muraglia: sotto il controllo della Cybersecurity Authority of China, infatti, impone una serie di requisiti sulla tutela delle informazioni, sistematizza le regole sulla protezione dei dati personali e regola anche il consenso, da parte degli utenti, al trattamento degli stessi.

La norma prevede che il consenso dev’essere concesso liberamente tramite un’azione chiara dell’individuo e può essere negato e revocato in qualsiasi momento. Regola anche il trasferimento delle informazioni all’estero, per cui si richiede un consenso separato per tutte quelle attività che diffondono i dati e/o li scambiano con altri esercizi commerciali.

La divulgazione dei dati Oltre Muraglia, tuttavia, può avvenire solo secondo certe condizioni, tra cui valutazioni di sicurezza effettuate da appositi enti di supervisione, certificazioni di conformità, e altre condizioni previste dall’Amministrazione Statale Cinese per il Cyberspazio.

Le norme, in generale, disciplinano la raccolta, l’archiviazione, l’uso, l’elaborazione, la trasmissione, la fornitura e la divulgazione dei dati all’interno della Repubblica Popolare e, per la prima volta, lo scambio dei dati, nonché la gestione e la transazione degli stessi, viene disciplinato dallo Stato.

Il confronto con la General Data Protection Regulation (GDPR) e le sanzioni.

Sin da una prima lettura della Personal Information Protection Law, si notano delle somiglianze con la General Data Protection Regulation (GDPR), cioè il Regolamento europeo (2016/679) sulla protezione dei dati personali in vigore dal 2018: tra queste, oltre al consenso e al trattamento delle informazioni all’estero, anche il principio di Accountability, cioè l’obbligo di responsabilizzazione e rendicontazione da parte dell’individuo e dell’organizzazione a capo del trattamento dei dati.

Tra gli elementi appartenenti a tale principio troviamo la trasparenza, cioè l’accessibilità alle informazioni da parte di utenti all’interno del territorio della Repubblica Popolare Cinese, l’esattezza e la liceità, e la conformità alle norme in tema di privacy e protezione dei dati. In questo modo, gli individui avranno la possibilità di sapere quali informazioni vengono condivise, in modo tale da poter decidere autonomamente se concederne o meno l’utilizzo.

Coloro che non si adegueranno alla legge in tempo o, comunque, che la violeranno dovranno certamente pagare cifre alquanto salate; si prevedono, infatti, sanzioni fino a 50 milioni di Yuán 元 (7 milioni di dollari circa) e/o il 5% del fatturato in riferimento all’anno precedente e la possibilità di subire ripercussioni penali e civili.

La Cina, insomma, con le sue nuove imposizioni legislative, che regolano le modalità di trasferimento delle informazioni, renderà molto più complicati e difficili i trasferimenti di dati al di fuori del proprio territorio; il governo controllerà, infatti, se le organizzazioni straniere e le figure delle stesse responsabili del trattamento dei dati al di fuori del Paese possano compromettere la sicurezza nazionale, gli interessi pubblici e i diritti di organizzazioni e individui cinesi.

Colossi tecnologici come Alibaba o Tencent dovranno, quindi, far fronte alle nuove direttive legislative che, durante quest’anno, hanno completato la regolamentazione cinese sulla privacy.

Fonte: a cura di Exportiamo, di Roberta Russo, redazione@exportiamo.it

© RIPRODUZIONE RISERVATA