Il 7 luglio 2022, l’Amministrazione del cyberspazio cinese (di seguito denominata “CAC”) ha emesso le Misure per la valutazione della sicurezza dell’esportazione di dati (di seguito denominate “Misure di valutazione” o “Misure”). Con le Misure, la  Cina completa il sistema legale per la gestione e la protezione dei dati nel cyberspazio cinese, fondato su tre leggi principali, quali la legge sulla sicurezza informatica, la legge sulla sicurezza dei dati e la legge sulla protezione delle informazioni personali, cui si aggiungono ulteriori leggi e regolamenti. Le Misure di valutazione regolano ulteriormente le attività di esportazione dei dati, chiarendo la specifica regolamentazione in materia e attuando principi quali la combinazione tra valutazione preventiva e supervisione continua della sicurezza del trasferimento dei dati verso l’estero, e la combinazione tra procedimenti di auto-valutazione del rischio e valutazioni sulla sicurezza. Abbiamo selezionato gli aspetti piu’ rilevanti per le imprese, che si riportano di seguito.

1. Quando si ha un’esportazione di dati rilevante ai fini delle Misure?

Le Misure trovano applicazione – con necessità di una valutazione sulla sicurezza del trasferimento – quando un responsabile del trattamento, in presenza dei requisiti previsti dalle stesse Misure, esporta  “dati importanti” e informazioni personali raccolte e ottenute nel corso dello svolgimento di attività sul territorio della Repubblica Popolare Cinese. In risposta alle richieste di chiarimento sulle Misure, il CAC ha inoltre chiarito che le attività di esportazione di dati l’estero rilevante ai sensi delle Misure si verifica, tra l’altro, nelle seguenti circostanze:

In primo luogo, quando i responsabili del trattamento dei dati trasferiscono e archiviano all’estero i dati raccolti e ottenuti nello svolgimento di attività domestiche.

In secondo luogo, quando i dati raccolti e generati dai responsabili del trattamento dei dati sono archiviati in Cina, ma saranno resi accessibili ad istituzioni, organizzazioni o individui al di fuori del Paese.

In sintesi, per determinare se un’operazione è considerabile o meno come un trasferimento di dati verso l’estero rilevante ai sensi delle Misure di valutazione, è necessario che siano soddisfatte le seguenti condizioni:

1) Tipologia di dati: dati importanti o informazioni personali raccolte e generate nello svolgimento di attività domestiche;

2) Metodo di trasferimento: trasferimento verso l’estero, sia in modalità remote che analogiche (trasferimento fisico);

3) Definizione di “estero”: Paesi/regioni diversi dalla Cina Continentale, compresi Hong Kong, Macao e Taiwan;

4) Soggetti che svolgono attività di Trasferimento Dati verso l’estero: il soggetto che svolge attività di trasferimento dei dati e il destinatario dei dati.

2. Quali sono le situazioni in cui viene attivato il “Controllo sulla sicurezza dei dati trasferiti verso l’estero”?

Il punto nodale del trasferimento dei dati verso l’estero è la determinazione delle circostanze nelle quali l’esportazione dei dati deve essere segnalata alle autorità di valutazione competenti. Le Misure di valutazione, in linea con quanto previsto della legge sulla cybersicurezza, sulla sicurezza dei dati e sulla protezione delle informazioni personali, identificano chiaramente le fattispecie in presenza delle quali si impone il Controllo, in base a criteri sia soggettivi, sia oggettivi di natura qualitativa e quantitativa:
1) I dati esportati contengono dati importanti, indipendentemente dal fatto che il responsabile del trattamento dei dati sia qualificabile come operatore di infrastrutture critiche informatizzate (“CIIO“), v. infra;
2) Il responsabile del trattamento è un CIIO come sopra definito: il responsabile del trattamento è un CIIO e fornisce informazioni personali all’estero;
3) La quantità di dati trattati dal responsabile del trattamento supera le seguenti soglie quantitative:

  1. Gestione di informazioni personali riconducibili ad oltre 1 milione di persone;
  2. Trasferimento, dal 1 ° gennaio dell’anno precedente, di dati personali di oltre 100,000 individui o di informazioni personali sensibili di oltre 10,000 individui;

4) Altre fattispecie definite dal Dipartimento statale dell’informazione su Internet che richiedono una valutazione della sicurezza della dichiarazione di esportazione dei dati.

3. Come identificare un operatore di infrastrutture critiche informatizzate (CIIO)?

Ai sensi dell’articolo 2 del Regolamento sulla protezione della sicurezza delle infrastrutture critiche dell’informazione (Regulations on the Security Protection of Critical Information Infrastructure) promulgato nel 2021, le infrastrutture critiche informatizzate si riferiscono a importanti industrie e settori come le comunicazioni pubbliche e i servizi di informazione, l’energia, i trasporti, la conservazione dell’acqua, la finanza, i servizi pubblici, l’e-government, la difesa nazionale, il settore tecnologico e altre importanti strutture di rete che, una volta andate distrutte, o dopo perdite del funzionamento o dei dati, possono mettere seriamente in pericolo la sicurezza e l’economia nazionale, il sostentamento delle persone, gli interessi pubblici, i sistemi di informazione, ecc. Ai sensi dell’articolo 10 del Regolamento doganale, è responsabilità del “dipartimento del lavoro di protezione” (protection work department) l’identificazione delle infrastrutture critiche informatizzate nei vari settori e industrie in base alle regole da esso formulate, e notificare agli operatori i risultati della valutazione. Sulla base di ciò, una volta che un’impresa è identificata come CIIO, riceverà una notifica dalle autorità competenti. Pertanto, fintanto che un’impresa non riceva una notifica, da parte delle autorità di classificazione quale CIIO, essa non potrà considerarsi tale. Tuttavia, si ritiene che con l’introduzione di regolamenti pertinenti, anche le regole di identificazione saranno migliorate e chiarite.

4. Raccomandazioni per la conformità legale
In base all’articolo 20 delle Misure di valutazione, queste ultime entreranno in vigore a partire dal 1° settembre 2022 e la loro attuazione comporterà l’esecuzione di appositi controlli di sicurezza circa l’esportazione dei dati. Laddove i requisiti stabiliti dalle Misure siano integrati e vi sia necessità di esportazione dei dati, le imprese interessate saranno tenute a dichiarare l’esito dei controlli di sicurezza e, per l’effetto, dovranno tempestivamente verificare la questione della sicurezza, incaricando organizzazioni specializzate o conducendo auto-valutazioni, predisporre la documentazione necessaria a norma di legge (es. contratto per esportazione dei dati), e presentare le dichiarazioni sull’esito dei controlli di sicurezza il prima possibile. Ed invero, sebbene le Misure concedano un periodo di sei mesi per provvedere alla dichiarazione, considerando  le tempistiche per la valutazione e la possibile necessità di rettifiche o integrazioni alla dichiarazione, si consiglia alle imprese interessate di procedere tempestivamente assicurandosi che la  propria attività sia conforme alle leggi e i regolamenti vigenti.