La globalizzazione ha portato con sé la necessità di fare circolare i dati tra paesi intra ed extra europei sempre più velocemente e in modo sempre più sicuro.
Visto la crescente maggiore tutela rivolta alla protezione dei dati personali, anche il mercato cinese, per non rischiare di essere escluso dalle transazioni commerciali a causa di un insufficiente grado di tutela, sta cominciando ad adeguarsi alla struttura del Regolamento UE 679/2016 (GDPR) mediante l’elaborazione della propria proposta di legge sul tema.
Nel novembre 2020 la Cina ha messo in consultazione pubblica la Personal Information Protection Law, che, in caso di approvazione definitiva, dovrebbe diventare la prima legge cinese specifica relativa alla protezione dei dati personali. Il testo normativo è ancora provvisorio e non è possibile escludere ulteriori modifiche.
La bozza provvisoria della legge cinese sulla protezione dei dati personali è composta da 70 articoli.
Di seguito vedremo un po’ più nel dettaglio alcuni aspetti sulle tecniche e sulle misure di protezione dei dati apportate, paragonandole anche a quelle in essere nel contesto europeo.
In tema di principi generali l’art. 3 sull’ambito di applicazione della legge cinese di protezione dei dati ricalca molto da vicino i criteri stabiliti dal GDPR, mentre gli artt. 6,7, 8 richiamano concetti molto vicini a quelli di minimizzazione, di trasparenza nell’individuazione delle finalità e di aggiornamento dei dati.
L’art. 13 individua le basi giuridiche del trattamento che poggiano sul consenso (fermo il diritto di revoca, come da disposizioni dell’art. 16), sulla conclusione/adempimento di un contratto di cui l’interessato è parte, sull’adempimento di obblighi di legge, sulla tutela della salute pubblica, sulla protezione della vita delle persone fisiche o sullo svolgimento di attività di pubblico interesse.
In tema di informativa (art. 18) molte sono le somiglianze con quanto prescritto dal GDPR: è infatti onere del titolare fornirla all’interessato prima del trattamento, con un linguaggio chiaro e comprensibile.
In relazione alla figura dell’interessato, poi, al capo IV sono stati individuati tutti i diritti a lui spettanti e assimilabili al diritto di limitazione, di accesso, portabilità, rettifica, aggiornamento e cancellazione.
Infine, anche per quanto riguarda la profilazione l’art. 25 stabilisce che nell’utilizzo dei dati personali in processi automatizzati, deve essere garantita la trasparenza del processo decisionale stesso, la correttezza e la ragionevolezza del risultato del trattamento.
Per quanto riguarda i ruoli vengono accentuati gli obblighi e le responsabilità del titolare che:
● è responsabile della propria attività di trattamento dei dati personali e deve adottare le misure necessarie a garantire la sicurezza del trattamento (art. 9);
● deve adottare le misure necessarie per garantire che il trattamento dei dati personali sia conforme alle disposizioni di legge, per prevenire l’accesso non autorizzato, la perdita o il furto, la distorsione o la cancellazione dei dati personali (art. 50);
● deve effettuare una valutazione dei rischi preventiva rispetto ad alcune attività di trattamento (art. 54).
Analogamente a quanto stabilito dal GDPR, poi, il titolare è tenuto a risarcire gli individui per la perdita subita o il beneficio ottenuto a seguito dell’illecito trattamento dei dati personali (art. 65).
In chiusura, particolare attenzione è da porsi sui trasferimenti/comunicazione a terzi dei dati personali.
L’art. 23, qualora sia necessario trasferire a terzi i dati personali a causa di operazioni societarie, pone in capo al titolare l’obbligo di comunicare agli interessati l’identità e le modalità di contatto del destinatario; ciò dovrà applicarsi anche in caso di comunicazione dei dati a terzi (art. 24).
Per quanto riguarda il trasferimento dei dati al di fuori del territorio cinese (ad es. per motivi di lavoro) deve sussistere almeno una delle seguenti condizioni (art. 38):
● superamento di una valutazione di sicurezza organizzata dal dipartimento di sicurezza informatica dello Stato cinese (art. 40);
● ricevere una certificazione di protezione delle informazioni personali condotta da un organismo specializzato secondo le disposizioni del dipartimento statale per la sicurezza informatica;
● concludere un accordo con la parte straniera ricevente, contenente i diritti e gli obblighi di entrambe le parti, assicurando che le attività di trattamento dei dati personali soddisfino gli standard di protezione dei dati personali previsti dalla legge cinese.
Allo stato, quindi, la problematica del trasferimento del dato non sembrerebbe ancora essere risolta e, per quanto riguarda le soluzioni che il titolare dovrà porre in essere per potere trasferire i dati in Cina in quanto paese terzo extra-Ue, si rimanda al seguente link.
Indubbiamente, l’introduzione della legge cinese porterà un grosso innalzamento della tutela dei dati personali degli interessati, una tutela che sino ad oggi in Cina è stata apprestata a mezzo della Cybersecurity Law Cinese, con un’attenzione maggiore al perimetro di sicurezza informatico e tecnologico.
Data l’espansione dei mercati e la necessità di trasferire dati, sarebbe auspicabile un’eventuale adozione definitiva del testo per cercare di ridurre sempre più le distanze transfrontaliere e per cercare di proteggere gli interessati, garantendo operazioni di trattamento sicure ed effettive.