Wired Italia La nuova legge sulla privacy della Cina assomiglia molto a quella dell’Europa

Benvenuto/a nella nostra community!
Vuoi far parte delle nostre discussioni? Unisciti ora!
Iscriviti
La censura di internet in Cina (Getty Images)

La censura di internet in Cina (Getty Images)

La Cina continua ad affilare il suo arsenale normativo, soprattutto nella sfera digitale. E lo fa con una sorta di triade: Data security law, cybersecurity law e, infine, Personal information protection law (Pipl) Quest’ultima, approvata lo scorso agosto dal Comitato permanente dell’Assemblea nazionale del popolo, entrerà in vigore a partire dal prima novembre e sistematizza le regole cinesi sulla protezione dei dati personali, dando una cornice normativa di riferimento sotto il controllo della Cybersecurity authority of china (Cac). E, tra le tre, si tratta forse della legge che può avere maggiori ripercussioni sulle attività delle aziende non solo cinesi ma anche straniere presenti in quel paese e su quel mercato.

La Pipl ha molte somiglianze con il Regolamento generale sulla protezione dei dati dell’Unione europea (il Gdpr, in vigore dal 2018), tra cui la sua portata extraterritoriale, le restrizioni sul trasferimento dei dati, gli obblighi di conformità e le sanzioni per la non conformità. Ma la Pipl solleva alcune preoccupazioni per le aziende che conducono affari in Cina, anche se le loro attività di trattamento dei dati si svolgono al di fuori del territorio cinese: le conseguenze per la mancata conformità potrebbero potenzialmente includere sanzioni pecuniarie e l’inserimento delle aziende in una lista nera del governo.

La Pipl mira a “proteggere i diritti e gli interessi degli individui“, “regolare le attività di trattamento delle informazioni personali” e “facilitare un uso ragionevole delle informazioni personali“, e si applica alle “entità di trattamento delle informazioni personali“. Ma, ancora una volta, nel mirino sembrano esserci soprattutto i colossi tecnologici.

Le aziende che gestiscono dati su scala allargata come Alibaba, Tencent o Didi dovranno gestire in modo completamente diverso le proprie attività e il rapporto con gli utenti. Per chi opera in Cina in ogni altro ambito significa approfondire e adeguare i propri standard alla nuova normativa“, spiega Lorenzo Riccardi, managing partner della società di consulenza Rsa Asia. “E le aziende dovranno adattarsi immediatamente perché in Cina appena la legge entra in vigore bisogna subito applicarla“, spiega Luca Qiu, coordinatore del gruppo di lavoro digitale di Fondazione Italia Cina e amministratore delegato di Value China durante un webinar su parallelismi e differenze tra Gdpr e Pipl organizzato dalla Fondazione Italia Cina e dalla Camera di Commercio Italo Cinese.

Pipl vs Gdpr: le parole chiave​


La definizione di “informazioni personali” e “trattamento delle informazioni personali” sono simili in entrambi gli strumenti normativi. Le informazioni personali sensibili sono definite nella Pipl come quelle che “una volta trapelate, o utilizzate illegalmente, possono facilmente violare la dignità di una persona fisica o causare danni alla sicurezza personale e alla proprietà, come le informazioni di identificazione biometrica, le convinzioni religiose, lo status speciale, le informazioni mediche sanitarie, i conti finanziari, le informazioni sui luoghi in cui si trovano le persone, nonché le informazioni personali dei minori di 14 anni“. Nel Gdpr l’azienda, la pubblica amministrazione o l’ente che elabora i dati personali vengono definiti “responsabile del trattamento dei dati“. Nella Pipl si usa invece il termine di “parte incaricata“. Così come “l’elaboratore dei dati” diventa “elaboratore di informazioni personali“. Ma nella sostanza i loro compiti potrebbero non differire in maniera sostanziale.

Pipl vs Gdpr: questione di confini​


Così come accade col Gdpr, la Pipl estende il suo ambito territoriale al trattamento dei dati personali al di fuori della Cina, a condizione che lo scopo del trattamento sia fornire prodotti o servizi agli individui in Cina oppure per “analizzare” o “valutare” il comportamento di individui in Cina. Inoltre, la Pipl richiede che le “entità di trattamento delle informazioni personali” offshore soggette alla legge stabiliscano un “ufficio dedicato” o nominino un “rappresentante designato” in Cina ai fini della protezione delle informazioni personali. “Ma la larga maggioranza delle elaborazioni avviene su piattaforme di ecommerce cinesi con sedi in Cina. Solo loro che collezionano i dati e le aziende straniere utilizzano il dato solo per fornire regolarmente il servizio” spiega Howard Wu, partner dello studio legale Baker McKenzie Shanghai: “Quindi non c’è bisogno di essere eccessivamente preoccupati, però certo le aziende devono subito adattarsi alla nuova legge e capire come essere conformi“.

Pipl vs Gdpr: il consenso al trattamento dei dati​


La definizione di consenso ai sensi della Pipl si allinea in gran parte con i requisiti di consenso del Gdpr. Cioè deve essere informato, fornito liberamente, dimostrato da un’azione chiara dell’individuo e può essere successivamente ritirato. C’è però un’aggiunta: la Pipl richiede un consenso separato per alcune attività di trattamento, in particolare se un’entità di trattamento condivide informazioni personali con altre entità, le divulga pubblicamente, le trasferisce all’estero o le elabora. In relazione alla tutela del diritto alla privacy per l’individuo la legge prevede che le persone debbano poter sapere quali informazioni personali vengono raccolte, possano non concedere l’utilizzo dei dati, e possano richiedere correzioni o cancellazioni dai database.

Ma i documenti circolati non sono ancora quelli definitivi e dunque ci sono dei punti ancora controversi rispetto alle regole finali. Resta incerto come diversi diritti previsti e tutelati dalla Pipl possano essere interpretati in pratica. Gli individui dovrebbero avere il diritto di intentare cause contro le entità di trattamento se queste respingono le loro richieste di esercitare i loro diritti, così come dovrebbe essere facilitato il diritto al risarcimento in base al danno effettivo eventualmente subito. Le regole potranno comunque differire in base alla grandezza degli elaboratori delle informazioni personali. “Per Alibaba o Tencent potranno esserci delle richieste aggiuntive rispetto a quelle standard che basteranno per piccole o medie piattaforme“, spiega Wu.

Pipl vs Gdpr: dati all’estero​


Come noto, il governo cinese non vuole consentire la trasmissione di dati sensibili all’estero. Per questo, rispetto al Gdpr la Pipl prevede richieste addizionali per trasferire informazioni a entità che non si trovano sul territorio cinese, soprattutto per le aziende o le entità che elaborano una grande quantità di dati. Se è effettivamente necessario trasferire tali informazioni personali all’estero, occorre superare una valutazione di sicurezza da parte delle autorità regolatrici.

È questo uno dei punti cruciali dell’intero apparato normativo. “La legge è considerata in linea con la nuova strategia di Pechino di contrasto al ruolo dei giganti del settore tecnologico di cui il governo vuole evitare il ruolo di monopolio, disciplinare il trattamento dei dati e bilanciare marginalità e performance economiche“, spiega Riccardi. Nel mirino, ancora una volta, ci sono soprattutto le grandi piattaforme. “Non si tratta comunque di una tendenza solo cinese ma anche europea e dei paesi dei Five Eyes (il gruppo di intelligence che riunisce Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, ndr)”, dice Francesca Gaudino, partner di Baker McKenzie Milano: “Un po’ tutti stanno approntando nuove regole sulla residenza locale dei dati“.

Pipl vs Gdpr: le sanzioni​


Nel caso di violazione, i regolatori possono ordinare azioni correttive, confiscare i redditi illegali, sospendere i servizi o emettere una multa. Nel caso del Gdpr, la sanzione può arrivare fino a 20 milioni di euro o al 4% delle entrate annuali globali. Nel caso della Pipl, invece, si può arrivare fino a 50 milioni di renminbi, vale a dire circa 6,7 milioni di euro, o al 5% dei ricavi annuali. A differenza della legge europea, però, quella cinese non specifica si ci si riferisce ai ricavi globali oppure solo a quelle generate in Cina. Non solo. La Pipl sembrerebbe non stabilire neppure una sanzione minima, lasciando dunque margine di discrezionalità alle autorità regolatorie.

The post La nuova legge sulla privacy della Cina assomiglia molto a quella dell’Europa appeared first on Wired.

Link originale...