Trattamento dati

Al via PIPL, la nuova legge sulla protezione dei dati personali cinese. Impatto e adempimenti per le aziende

Sul modello del GDPR in Europa, la Repubblica Popolare Cinese ha adottato il Personal Information Protection Law, normativa sulla data protection per i cittadini cinesi. Una novità che comporta per le aziende europee che operano in Cina una serie di oneri e interventi sui sistemi informativi. Ecco quali

Pubblicato il 17 Gen 2022

Ilaria Andrisani

Senior Legal Consultant P4I

Andrea Grillo

Senior Legal Consultant, P4I - Partners4Innovation

Immagine di Ivan Marc da Shutterstock

Lo scorso 20 agosto il Congresso Nazionale della Repubblica Popolare Cinese ha adottato la nuova legge denominata “Personal Information Protection Law of the People’s Republic of China” (PIPL), la nuova normativa che tutela i dati personali delle persone fisiche nella Repubblica Popolare Cinese.

Il Personal Information Protection Law of the People’s Republic of China (PIPL) entrato in vigore 1° novembre 2021 e, insieme alla legge sulla cybersecurity e alla nuova Data Security Law (in vigore dal 1° settembre), costituisce il nuovo framework normativo che regolamenta la sicurezza e il trattamento dei dati personali in Cina.

L’approvazione del PIPL esprime la volontà della Cina di seguire il modello data protection europeo che conferisce nuova centralità alla figura umana nell’ecosistema digitale. È stato dunque adottato un testo che, seppure prenda come ispirazione il modello GDPR, se ne discosta in parte, prevedendo disposizione ed obblighi applicabili a tutti i soggetti (anche europei) che operano, direttamente o indirettamente, nel mercato cinese.

La portata extraterritoriale del PIPL

L’entrata in vigore del PIPL ha difatti particolare rilevanza per le aziende europee che operano sul mercato cinese in considerazione della sua portata extraterritoriale.

All’art. 3, il PIPL definisce l’ambito di applicazione della normativa, indicando che questa trova applicazione a qualsiasi trattamento di dati personali – eseguito anche al di fuori della Repubblica Popolare Cinese – qualora questo sia finalizzato a fornire prodotti o servizi a persone fisiche situate in Cina.

In linea con le disposizioni previste dal GDPR, il PIPL stabilisce che un trattamento di dati personali possa essere effettuato solo per finalità determinate, coinvolgere unicamente i dati personali strettamente necessari al raggiungimento di tale finalità e debba ispirarsi al principio di trasparenza.

In relazione a quest’ultimo principio, l’art. 24 del PIPL, che disciplina i trattamenti automatizzati, dispone che il titolare del trattamento non debba ricorrere a processi decisionali automatizzati, qualora questi abbiano conseguenze pregiudizievoli per gli interessati nella determinazione dei prezzi o ad altre condizioni di acquisto (es. prezzi discriminatori determinati attraverso l’utilizzo di algoritmi che elaborano i big data).

All’art. 13 del PIPL sono disciplinate le basi giuridiche del trattamento che coincidono parzialmente con quelle previste dall’art. 6 del GDPR. Una importante differenza, rispetto alla normativa nostrana, è l’assenza del legittimo interesse quale possibile fondamento della legittimità del trattamento.

A differenze del GDPR il PIPL non prevede il legittimo interesse come base giuridica del trattamento. Per i trattamenti effettuati in Cina sarà dunque necessario trovare un diverso fondamento giuridico per i trattamenti effettuati.

Nuovi e vecchi consensi

All’art. 14 il PIPL disciplina il consenso prevedendo che, qualora il titolare del trattamento utilizzi il consenso come base giuridica del trattamento, tale consenso dovrà essere rilasciato separatamente nei casi in cui: i) il titolare trasmetta le informazioni ad un soggetto terzo; ii) il titolare intenda divulgare le informazioni; iii) i dati siano raccolti in aree pubbliche per la salvaguardia di pubblici interessi (es. raccolta immagini con sistemi di CCTV); iv) il trattamento riguardi “sensitive personal data”(definiti come informazioni che se trattate illegalmente potrebbero cagionare danno alla dignità di un individuo, alla sua sicurezza personale e a quella dei suoi beni); v) venga effettuato un trasferimento di dati personali al di fuori della Cina.

Il PIPL non fornisce una definizione specifica in relazione al consenso separato. In attesa di maggiori precisazioni, da parte degli organi legislativi cinesi, è plausibile ritenere che tale consenso debba essere richiesto come ulteriore rispetto a quello “generale” raccolto in relazione al trattamento dei dati personali del soggetto interessato.

Trasferimento di dati personali al fuori della Cina e accesso alle informazioni

Il Capitolo III del PIPL disciplina il trasferimento di dati personali al di fuori dei confini territoriali cinesi, stabilendo stringenti requisiti affinché tali trasferimenti possano legittimamente essere effettuati.

Affinchè informazioni personali possano essere trasferite al di fuori della Cina, è richiesto al titolare di soddisfare almeno una delle condizioni previste dall’art. 38 del PIPL: i) il superamento di un assessment relativo sicurezza condotto dalla Cyberspace Administration of China (CAC); ii) l’ottenimento di una certificazione relativa alla sicurezza rilasciata da un organismo accreditato secondo schemi definiti dal CAC; iii) sia stato stipulato un accordo con il destinatario straniero sulla base del “contratto standard” definito dal CAC (ancora da emettere e che ci si aspetta essere di portata analoga alle clausole contrattuali standard emesse dalla Commissione Europea) e che garantisce che ai dati personali trasferiti tutele equivalenti a quelle previste dal PIPL; iv) Il trasferimento sia conforme ad altre leggi o regolamenti stabiliti dal CAC.

Secondo quanto previsto dal PIPL non tutti i titolari potranno basare i trasferimenti di dati extra Cina sul “contratto standard”. L’art. 40 del PIPL stabilisce infatti che gli operatori di infrastrutture critiche o che trattano dati personali in quantità superiori a quelle previste dal CAC (volume ancora da definire) possano effettuare il trasferimento solo dopo il superamento dell’assessment di sicurezza condotto dalla Cyberspace Administration of China (CAC). Qualora tali soggetti non si sottopongano alla valutazione di sicurezza del CAC o questa abbia esito negativo, nessun trasferimento di dati personali extra Cina potrà aver luogo.

Conclusione

L’entrata in vigore del PIPL ha importanti implicazioni per le imprese che operano nel mercato cinese e impone ai titolari del trattamento numerosi oneri, in alcuni casi più stringenti di quelli previsti dal GDPR. In considerazione del fatto che il PIPL è entrato in vigore il 1° novembre 2021, è di sostanziale importanza per tutte le aziende interessate a operare in tale mercato allinearsi alla normativa adottando soluzioni tecniche adeguate in grado di soddisfare i requisiti previsti dal PIPL e tenersi costantemente aggiornate in merito ad ulteriori provvedimenti che potranno essere emanati dalle autorità cinesi competenti (come, ad esempio, la pubblicazione di linee guida) per l’attuazione della normativa.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4