In Cina, sulla scia della nuova normativa in materia di protezione dei dati personali e della loro sicurezza, è stato emanato lo scorso 16 agosto un nuovo provvedimento sulla gestione della sicurezza dei dati negli autoveicoli (di seguito anche solo “Provvedimento”) che entrerà in vigore il prossimo 1° Ottobre 2021.

  1. Qual è l’oggetto del Provvedimento?

Il provvedimento ha ad oggetto i dati che vengono trattati e generati dai processori inseriti all’interno degli autoveicoli. Tali dati riguardano informazioni personali, nonché informazioni sul design, sulla vendita, sulla manifattura ed operatività, sull’utilizzo e sulla manutenzione del veicolo.

I dati personali sono tutti quelli registrati elettronicamente o con altro mezzo e relativi al proprietario del veicolo (così identificato o identificabile), o anche al suo conducente, al passeggero o a qualsiasi altro soggetto terzo. Da tale categoria, secondo quanto disposto dalla Legge sulla protezione dei dati personali, si escludono le informazioni previamente anonimizzate.

Va inoltre menzionato che il Provvedimento è il primo atto normativo che menziona espressamente quali sono i dati rilevanti oggetto di protezione. Tra questi:

  • informazioni geografiche, flussi di persone o di veicoli, dati di aree sensibili come le zone ad amministrazione militare, dati propri di entità attive sul fronte della sicurezza nazionale o dello sviluppo tecnologico, dati riconducibili a qualsiasi parte o agenzia governativa a livello locale o nazionale;
  • volume di traffico, logistica e altri dati che riflettono l’andamento dell’economia;
  • dati relativi ai sistemi di ricarica delle automobili;
  • video o immagini raccolte all’esterno del veicolo e che consentono l’identificazione facciale, l’identificazione di numeri di targhe etc.;
  • dati personali propri di oltre 100.000 individui.

 

 

  1. A chi si applica il Provvedimento?

Il Provvedimento dovrà essere rispettato da tutti coloro che processano dati che verranno generati o elaborati dagli autoveicoli. Tra questi vi rientrano i produttori, i meccanici, i fornitori di software, le aziende automobilistiche etc.

 

  1. Principi base nell’elaborazione dei dati

Il governo cinese incoraggia un uso ragionevole dei dati generati negli autoveicoli. I processori dei dati che verranno installati al loro interno dovranno rispettare i seguenti principi:

  1. principio di trattamento “interno” al veicolo, a meno che non sia necessario fornire i dati ad un soggetto esterno a quest’ultimo;
  2. principio di non raccolta dei dati by default, ai sensi del quale le impostazioni di sistema non devono essere già preimpostate sulla raccolta dei dati, ma questa deve essere espressamente decisa e avviata dal conducente;
  3. principio di accuratezza e di ragionevole copertura, il quale stabilisce che il raggio di copertura e la risoluzione di fotocamere, radar o altri oggetti simili deve essere commisurato alle effettive funzioni del servizio; e
  4. principio di desensibilizzazione, in quanto i dati raccolti devono essere resi anonimi nella maggior misura possibile.

Per tutto ciò, ai sensi della neo-introdotta normativa, lo sforzo di compliance alla normativa sulla protezione dei dati personali richiesto alle aziende produttrice di autoveicoli è sempre maggiore. Ciò, è tanto più vero se si considerano i vari interventi che si sono succeduti. A questo proposito, si evidenzia che il 1° settembre è entrata in vigore la legge sulla sicurezza dei dati personali, il 1° ottobre entrerà in vigore il Provvedimento qui esaminato, infine, il 1° novembre, entrerà in vigore la legge sulla protezione dei dati personali. Pertanto, qualora le imprese abbiano già predisposto meccanismi di protezione dei dati personali, è necessario che questi siano aggiornati, affinché siano conformi alle recenti modifiche legislative. Qualora, invece, le aziende non abbiano adottato alcuna misura, urge, soprattutto da parte di quelle di maggiori dimensioni, un intervento nella misura indicata dal legislatore cinese.