Introduzione
I temi della protezione dei dati e della privacy, a livello globale, sono sicuramente tra quelli più importanti e caratterizzati da maggior dinamicità nel XXI secolo. I dati personali, con particolare riferimento a quelli sensibili, sono infatti comunemente definiti come il “nuovo petrolio”, in ragione del valore economico che il relativo trattamento e sfruttamento può rappresentare.
In linea con l’attenzione globale riservata a queste delicate tematiche e alle innovative esigenze di tutela ad esse connesse, anche legislatore cinese ha focalizzato la propria attenzione sull’attuazione di una politica di cybersicurezza uniforme e omogenea in tutto il Paese, che è passata attraverso la promozione di numerosi atti normativi di settore, quali la Legge sulla sicurezza dei dati (Data Security Law), in vigore dal 1° settembre 2021, e la Legge sulla protezione dei dati personali (Personal Information Protection Law), entrata in vigore lo scorso 1° novembre 2021. Detti provvedimenti hanno imposto stringenti requisiti normativi di conformità, con particolare riferimento alle restrizioni al trasferimento transfrontaliero e la necessaria localizzazione di particolari categorie di dati, particolarmente sensibili per le società estere – incluse quelle italiane e comunitarie – che intendono operare sul mercato cinese.
La nuova normativa sulla sicurezza e protezione dei dati
Le due leggi sopra menzionate, che operano in modo complementare, costituiscono i capisaldi del nuovo sistema normativo cinese di sicurezza e protezione dei dati, inclusi quelli personali.
In particolare, la recente Legge sulla sicurezza dei dati – in continuità con la precedente Legge sulla cybersicurezza della R.P.C. – si pone l’obiettivo di migliorare gli standard di sicurezza informatica per la gestione dei dati, prevedendo l’ottemperanza a requisiti e standard di sicurezza informatica progressivamente più rigorosi a seconda della sensibilità dei dati gestiti e dei rischi legati a possibili violazioni dei dati stessi, nonché – con riferimento agli operatori delle cd. infrastrutture critiche informatizzate (critical infrastructure operators) e a dati significativi (important data) – particolari requisiti di localizzazione e supervisione del trasferimento transfrontaliero, che vede il coinvolgimento e controllo diretto delle competenti autorità cinesi.
Con specifico riferimento ai dati personali, ossia a quelli riconducibili a persone fisiche determinate o determinabili, la Legge sulla protezione dei dati personali istituisce invece un complesso di obblighi cui deve conformarsi l’acquisizione, il trattamento e il trasferimento dei dati personali. L’intero sistema ruota attorno al consenso espresso del soggetto cui i dati si riferiscono, che deve essere anche specifico in relazione al trattamento dei dati sensibili, al trasferimento di dati personali a soggetti terzi e al trasferimento transfrontaliero (ossia, al di fuori del territorio cinese).
L’attuazione della normativa di settore è rigorosa: ed invero, anche i tradizionali colossi informatici del mercato cinese hanno dovuto far fronte ad indagini sulla loro condotta e alla repressione di comportamenti illeciti, in particolare relativamente all’abusivo trattamento delle informazioni personali degli utenti e ai conseguenti rischi per la sicurezza.
Come saranno influenzate le operazioni degli investitori esteri?
La Camera di Commercio dell’Unione Europea in Cina ha qualificato sia la Legge sulla sicurezza dei dati che la Legge sulla protezione dei dati personali come sviluppi significativamente positivi nel regime generale della cybersicurezza della Cina, non privi però di criticità, con particolare riferimento ai requisiti di localizzazione e alle restrizioni sul trasferimento transnazionale dei dati. Ha inoltre sottolineato come la divergenza del sistema normativo di protezione dei dati in Cina da quelli vigenti nei Principali altri Paesi – come il Regolamento Generale sulla Protezione dei Dati (GDPR) in vigore negli Stati UE – renderà complesso per le società, sia straniere che cinesi, ottemperare a tutti gli obblighi previsti da plurime normative di settore.
Ciò non toglie che la Legge sulla protezione dei dati personali presenti una logica analoga a quella del GDPR, riscontrabile dalle evidenti somiglianze tra le disposizioni riguardanti i dati personali delle persone fisiche e la necessità del consenso per il trattamento di certe categorie di dati personali, presenti sia nella legge cinese che nel GDPR.
Ad ogni modo, con la promulgazione delle predette due leggi, è indubbio che per alcune imprese operanti nel mercato cinese siano stati imposti peculiari adempimenti nei confronti delle autorità competenti per il cyberspazio (ad esempio, l’Amministrazione per il cyberspazio in Cina o il Ministero di Pubblica Sicurezza), con particolare riferimento alle valutazioni di sicurezza, alle approvazioni e alla supervisione governativa necessaria per l’elaborazione di taluni dati in Cina, con conseguenti aggravi di natura finanziaria e/o burocratica.
In particolare, adottando il punto di vista di una PMI straniera che opera nel territorio, i requisiti sulla localizzazione dei dati all’interno del territorio cinese (con specifico riferimento al caso di elaborazione di dati ritenuti significativi in base ai parametri qualitativi e quantitativi definiti dalle autorità di settore e di quelle competenti per il cyberspazio) potranno limitare le opportunità di business e/o aumentare i costi di localizzazione per tali aziende. Tali costi informatici, legati all’ottemperanza al quadro normativo cinese sulla sicurezza dei dati, rappresentano un possibile disincentivo per le PMI, che si va a sommare ad una situazione già complicata dalla nuova ondata dell’epidemia di COVID-19 e dai connessi lockdown e provvedimenti restrittivi, soprattutto a Shanghai.
Requisiti di conformità per gli investitori
Sia per i nuovi investitori che per le società già presenti nel mercato cinese (fisicamente o digitalmente) è vitale condurre un audit iniziale sulla sicurezza informatica per valutare attentamente in che misura le loro operazioni commerciali ricadano nell’ambito di applicazione delle suddette leggi (ad esempio, le imprese considerate come operatori di infrastrutture informatiche critiche sono soggette ad adempimenti più rigorosi e soggetti a sanzioni più severe in caso di inottemperanza).
Inoltre, tutte le aziende che elaborano i dati personali dei loro dipendenti, clienti, fornitori, distributori ecc. dovrebbero anche attuare pienamente, insieme ai propri responsabili delle risorse umane, valutazioni d’impatto sul trattamento dei dati personali, al fine di garantire che il consenso dei soggetti cui i dati si riferiscono sia ottenuto in modo legittimo e che siano adeguatamente fornite le informazioni previste dalla normativa, come i nomi delle parti riceventi, delle loro informazioni di contatto, degli scopi del trattamento, delle forme di trattamento, delle categorie di dati personali coinvolti e delle modalità in cui tali individui possono far valere i loro diritti secondo la legge locale.
È auspicabile che tali misure vengano attuate al più presto poiché i responsabili del trattamento dei dati (aziende) dovranno anche superare una valutazione di sicurezza condotta dalle autorità statali del cyberspazio, assicurando che la raccolta di tali dati sia limitata al livello minimo necessario per soddisfare uno scopo specifico.
Conclusioni
In seguito all’introduzione della Legge sulla sicurezza dei dati e della Legge sulla protezione di dati personali, le società straniere che operano in Cina e che in precedenza non avevano introdotto policy dedicate all’interno delle rispettive aziende – anche in mancanza di una specifica disciplina locale di settore – ora sono tenute a provvedervi. Allo stesso modo, le società operanti all’interno del mercato cinese che in precedenza avevano adottato le loro politiche di privacy in linea con i requisiti del GDPR dovranno ora adeguarsi ai peculiari requisiti imposti dalle predette leggi che, come accennato, fanno parte di un complesso normativo più ampio che ricomprende anche la Legge sulla cybersicurezza, la Legge sul commercio elettronico e una serie di provvedimenti attuativi, opinioni giudiziali e linee guida promulgate per fare ulteriore chiarezza in questo complesso settore.
Una cosa è certa: la corsa per il controllo del “nuovo petrolio” è veramente partita e la Cina vuole giocare un ruolo di primo piano, insieme agli Stati Uniti e all’Unione Europea.
A cura di: Avv. Carlo D’Andrea, Vice Presidente della Camera di Commercio dell’Unione Europea in Cina