Il boom dell’economia cibernetica in Cina è in parte dovuto al fatto che i giganti di Internet hanno facile accesso e utilizzano gratuitamente un’enorme quantità di dati personali: il sistema di raccomandazione di Taobao, e di simile piattaforme di shopping online, si basa sull’analisi dei dati personali; l’azione di Tiktok sulle raccomandazioni dipende completamente dai dati personali; le altre attività “Internet Plus” decollate insieme al boom di Internet hanno goduto o continuano a godere dei vantaggi invisibili derivanti dai dati personali; il futuro sviluppo dell’AI richiederà una quantità significativa di input di informazioni per la formazione, fra cui anche informazioni personali di cui non si conosce ancora la misura.

Ora che lo slancio del boom di Internet declina lentamente, con la tendenza al monopolio dei giganti di Internet che si manifesta gradualmente, con le continue critiche internazionali contro la Cina per la scarsa protezione delle informazioni personali, con diversi paesi che criticano Tiktok per la violazione dei dati personali, e anche con l’emergere di app (ZAO) che sono state bloccate proprio per motivi di protezione di informazioni e simili, assistiamo alla stesura del “Disegno di Legge sulla Protezione delle Informazioni Personali” il 21 ottobre 2020 da parte del Comitato Permanente del Congresso Nazionale del Popolo della Cina, in seguito alla insistenza dell’opinione pubblica.

In primo luogo, è necessario precisare che il progetto è ancora lontano dall’essere approvato come Legge. Deve ancora essere rivisto almeno tre volte dal Comitato Permanente del Congresso Nazionale del Popolo, in ciascuna delle quali, il contenuto di esso può essere leggermente rivisto. Pertanto, non dovrebbe essere considerato come la guida finale alla conformità di un’azienda. Tuttavia, la tendenza alla vigilanza sulla protezione dei dati personali divulgati è davvero degna di discussione e riferimento.

In secondo luogo, va sottolineato che dal 2012 la legislazione cinese sulla protezione dei dati personali ha subito molti cambiamenti, attraverso le due revisioni della legge sulla pubblicità nel 2015 e nel 2018, la legge sulla sicurezza informatica del 2016, le regole generali del diritto civile del 2017, 2019 Legge sull’e-commerce, il “Codice Civile” promulgato nel 2020 (in vigore nel 2021), fino alla pubblicazione della Bozza di questi giorni. Lo sviluppo della legislazione Cinese in merito ad una legge di settore indipendente, sulla protezione dei dati personali, è conforme alle esigenze di sviluppo sociale.

In queste circostanze, osservando la Bozza, non possiamo fare a meno di aspettarci che la futura legge sia utile per il controllo ed equilibrio dei giganti di Internet nazionali e stranieri e dell’industria dell’informazione oscura.

In termini di ambito di protezione, il progetto si basa sulle tendenze internazionali per la definizione di informazioni personali si avvicina al concetto di Informazioni di Identificazione Personale (IIP) nella legislazione internazionale. Inoltre, incorpora il concetto di “informazioni personali sensibili” nel sistema. L’intenzione di ampliare l’ambito di protezione delle informazioni e rafforzare la supervisione è sufficientemente chiara per allertare le aziende che fanno molto affidamento sulle informazioni degli utenti.

In termini di giurisdizione, la bozza stabilirà l’efficacia della giurisdizione a largo spettro in aree al di fuori della Cina. Le entità straniere non saranno più in grado di raccogliere informazioni personali nazionali in modo semplice e diretto. Dovranno invece istituire agenzie specifiche o rappresentanti designati in Cina per essere responsabili degli affari correlati ed essere soggetti alla supervisione delle autorità competenti. Un’impresa generale deve soddisfare almeno una delle seguenti condizioni per elaborare l’esportazione di informazioni personali: (1) Superare la valutazione di sicurezza del dipartimento nazionale di sicurezza informatica e informatizzazione; (2) ottenere un Certificato da un’organizzazione professionale secondo le disposizioni della predetta funzione; (3) Firmare un contratto con il destinatario estero e controllare le attività del destinatario per soddisfare gli standard di protezione previsti dalla legge. Gli operatori delle infrastrutture per informatiche critiche e gli incaricati del trattamento dei dati personali, la cui entità di dati elaborati raggiunga la soglia prescritta dal relativo dipartimento, devono superare una verifica di sicurezza organizzata dalla predetta funzione. A questo proposito, a parte la precedente supervisione, è ovvio che gli operatori i cui server sono all’estero, o quelli i cui server sono in Cina ma trasmettono i dati degli utenti a terze parti estere, dovranno sottoporsi ad una supervisione e una due diligence più severi.

In tema di trattamento delle informazioni, la Bozza chiarisce i principi di “segnalazione individuale” e “consenso espresso”. I responsabili del trattamento delle informazioni dovrebbero informare le persone in dettaglio sul trattamento dei dati personali e ottenere il loro consenso individuale ed espresso. La Bozza stabilisce anche diverse eccezioni, comunque in circostanze urgenti o di emergenza, orientate all’interesse sociale e pubblico. In ambito aziendale, la necessità di acquisire il consenso dei consumatori è quasi impossibile da aggirare. La concomitanza con l’espansione dell’ambito della protezione delle informazioni condizionerà molte aziende.

In termini di responsabilità e sanzioni, la Bozza stabilisce che qualora si verifichi una violazione di tali leggi in circostanze normali, è prevista una multa pari al massimo ad 1 milione di RMB alla persona giuridica, mentre alla persona fisica responsabile deve essere inflitta una multa tra 10.000 RMB e RMB 100.000. Se l’atto illecito menzionato nel paragrafo precedente è grave, all’ente sarà inflitta una multa fino a 50 milioni di RMB o il 5% delle entrate annuali dello scorso anno, oltre ad una multa da 100.000 RMB a 1 milione di RMB alla persona fisica responsabile. Inoltre, possono seguire la sospensione dell’attività, la revoca o la sospensione delle licenze commerciali.

Qualora sussista la possibilità che organizzazioni e individui stranieri causino danni alla sicurezza nazionale e agli interessi pubblici o violino i diritti e gli interessi dei cittadini cinesi, questi potranno anche essere inclusi nella Lista Nera, con pubblici annunci e limitato o vietato accesso ai dati personali. informazioni e altre sanzioni. In questo modo aumenta in modo significativo il costo delle violazioni e il bisogno di adempiere in modo conforme.

È prevedibile che, come nuovo orientamento, si darà sempre più rilevanza alla conformità dei dati con notevoli miglioramenti nelle operazioni aziendali. Restiamo in attesa di assistere all’eventuale evoluzione della “Legge sulla Protezione dei Dati Personali” in strumento di controllo ed equilibrio del brutale sviluppo di Internet. Per qualsiasi domanda o richiesta sulla protezione dei dati personali, D’Andrea&Partners Legal Counsel è a tua disposizione con esperti internazionali e multilingue per supportarti. Non perdere i nostri innumerevoli articoli sul nostro sito web o contattaci all’indirizzo info@dandreapartners.com.