Introduzione Ufficiale delle “Misure per la valutazione della sicurezza dell’esportazione di dati”
#Cina
Il 7 luglio 2022, l’Amministrazione del cyberspazio cinese (di seguito denominata “CAC”) ha emesso le Misure per la valutazione della sicurezza dell’esportazione di dati (di seguito denominate “Misure di valutazione” o “Misure”). Con le Misure, la Cina completa il sistema legale per la gestione e la protezione dei dati nel cyberspazio cinese, fondato su tre leggi principali, quali la legge sulla sicurezza informatica, la legge sulla sicurezza dei dati e la legge sulla protezione delle informazioni personali, cui si aggiungono ulteriori leggi e regolamenti. Le Misure di valutazione regolano ulteriormente le attività di esportazione dei dati, chiarendo la specifica regolamentazione in materia e attuando principi quali la combinazione tra valutazione preventiva e supervisione continua della sicurezza del trasferimento dei dati verso l’estero, e la combinazione tra procedimenti di auto-valutazione del rischio e valutazioni sulla sicurezza. Abbiamo selezionato gli aspetti piu’ rilevanti per le imprese, che si riportano di seguito.
1. Quando si ha un’esportazione di dati rilevante ai fini delle Misure?
Le Misure trovano applicazione – con necessità di una valutazione sulla sicurezza del trasferimento – quando un responsabile del trattamento, in presenza dei requisiti previsti dalle stesse Misure, esporta “dati importanti” e informazioni personali raccolte e ottenute nel corso dello svolgimento di attività sul territorio della Repubblica Popolare Cinese. In risposta alle richieste di chiarimento sulle Misure, il CAC ha inoltre chiarito che le attività di esportazione di dati l’estero rilevante ai sensi delle Misure si verifica, tra l’altro, nelle seguenti circostanze:
In primo luogo, quando i responsabili del trattamento dei dati trasferiscono e archiviano all’estero i dati raccolti e ottenuti nello svolgimento di attività domestiche.
In secondo luogo, quando i dati raccolti e generati dai responsabili del trattamento dei dati sono archiviati in Cina, ma saranno resi accessibili ad istituzioni, organizzazioni o individui al di fuori del Paese.
In sintesi, per determinare se un’operazione è considerabile o meno come un trasferimento di dati verso l’estero rilevante ai sensi delle Misure di valutazione, è necessario che siano soddisfatte le seguenti condizioni:
1) Tipologia di dati: dati importanti o informazioni personali raccolte e generate nello svolgimento di attività domestiche;
2) Metodo di trasferimento: trasferimento verso l’estero, sia in modalità remote che analogiche (trasferimento fisico);
3) Definizione di “estero”: Paesi/regioni diversi dalla Cina Continentale, compresi Hong Kong, Macao e Taiwan;
4) Soggetti che svolgono attività di Trasferimento Dati verso l’estero: il soggetto che svolge attività di trasferimento dei dati e il destinatario dei dati.
2. Quali sono le situazioni in cui viene attivato il “Controllo sulla sicurezza dei dati trasferiti verso l’estero”?
Il punto nodale del trasferimento dei dati verso l’estero è la determinazione delle circostanze nelle quali l’esportazione dei dati deve essere segnalata alle autorità di valutazione competenti. Le Misure di valutazione, in linea con quanto previsto della legge sulla cybersicurezza, sulla sicurezza dei dati e sulla protezione delle informazioni personali, identificano chiaramente le fattispecie in presenza delle quali si impone il Controllo, in base a criteri sia soggettivi, sia oggettivi di natura qualitativa e quantitativa: 1) I dati esportati contengono dati importanti, indipendentemente dal fatto che il responsabile del trattamento dei dati sia qualificabile come operatore di infrastrutture critiche informatizzate (“CIIO”), v. infra; 2) Il responsabile del trattamento è un CIIO come sopra definito: il responsabile del trattamento è un CIIO e fornisce informazioni personali all’estero; 3) La quantità di dati trattati dal responsabile del trattamento supera le seguenti soglie quantitative:
Gestione di informazioni personali riconducibili ad oltre 1 milione di persone;
Trasferimento, dal 1 ° gennaio dell’anno precedente, di dati personali di oltre 100,000 individui o di informazioni personali sensibili di oltre 10,000 individui;
4) Altre fattispecie definite dal Dipartimento statale dell’informazione su Internet che richiedono una valutazione della sicurezza della dichiarazione di esportazione dei dati.
3. Come identificare un operatore di infrastrutture critiche informatizzate (CIIO)?
Ai sensi dell’articolo 2 del Regolamento sulla protezione della sicurezza delle infrastrutture critiche dell’informazione (Regulations on the Security Protection of Critical Information Infrastructure) promulgato nel 2021, le infrastrutture critiche informatizzate si riferiscono a importanti industrie e settori come le comunicazioni pubbliche e i servizi di informazione, l’energia, i trasporti, la conservazione dell’acqua, la finanza, i servizi pubblici, l’e-government, la difesa nazionale, il settore tecnologico e altre importanti strutture di rete che, una volta andate distrutte, o dopo perdite del funzionamento o dei dati, possono mettere seriamente in pericolo la sicurezza e l’economia nazionale, il sostentamento delle persone, gli interessi pubblici, i sistemi di informazione, ecc. Ai sensi dell’articolo 10 del Regolamento doganale, è responsabilità del “dipartimento del lavoro di protezione” (protection work department) l’identificazione delle infrastrutture critiche informatizzate nei vari settori e industrie in base alle regole da esso formulate, e notificare agli operatori i risultati della valutazione. Sulla base di ciò, una volta che un’impresa è identificata come CIIO, riceverà una notifica dalle autorità competenti. Pertanto, fintanto che un’impresa non riceva una notifica, da parte delle autorità di classificazione quale CIIO, essa non potrà considerarsi tale. Tuttavia, si ritiene che con l’introduzione di regolamenti pertinenti, anche le regole di identificazione saranno migliorate e chiarite.
4. Raccomandazioni per la conformità legale In base all’articolo 20 delle Misure di valutazione, queste ultime entreranno in vigore a partire dal 1° settembre 2022 e la loro attuazione comporterà l’esecuzione di appositi controlli di sicurezza circa l’esportazione dei dati. Laddove i requisiti stabiliti dalle Misure siano integrati e vi sia necessità di esportazione dei dati, le imprese interessate saranno tenute a dichiarare l’esito dei controlli di sicurezza e, per l’effetto, dovranno tempestivamente verificare la questione della sicurezza, incaricando organizzazioni specializzate o conducendo auto-valutazioni, predisporre la documentazione necessaria a norma di legge (es. contratto per esportazione dei dati), e presentare le dichiarazioni sull’esito dei controlli di sicurezza il prima possibile. Ed invero, sebbene le Misure concedano un periodo di sei mesi per provvedere alla dichiarazione, considerando le tempistiche per la valutazione e la possibile necessità di rettifiche o integrazioni alla dichiarazione, si consiglia alle imprese interessate di procedere tempestivamente assicurandosi che la propria attività sia conforme alle leggi e i regolamenti vigenti.
Il 13 giugno 2024 sono state promulgate dall’Ufficio Municipale di Giustizia di Shanghai le Misure per la Promozione dell’Arbitrato Ad Hoc a Shanghai per le Questioni Transfrontaliere in Ambito Commerciale e Marittimo (sperimentali), entrate in vigore il 1 agosto 2024 denominate Misure per l’Arbitrato Ad Hoc nel presente articolo. L’arbitrato ad hoc è un procedimento
Al fine di dare attuazione ai requisiti del Piano d’azione del Consiglio di Stato per promuovere il rinnovo delle attrezzature su larga scala e la permuta di beni di consumo (Guo Fa [2024] n. 7), il Governo Popolare della Municipalità di Shanghai ha pubblicato il relativo Piano d’Azione per la municipalità Shanghai per il periodo
Sottofondo Nel contesto dell’evoluzione del panorama economico globale, per ottimizzare ulteriormente l’ambiente commerciale e costruire un sistema di mercato aperto, equo e trasparente, il 1° agosto 2024 il governo cinese ha ufficialmente promulgato il Regolamento per la verifica della correttezza della concorrenza (di seguito denominato “Regolamento”). La formulazione del Regolamento deriva dall’obiettivo di perseguimento e
#Cina
Gestisci le preferenze
Questo sito web utilizza Cookie non essenziali al fine di ottimizzare l'esperienza di navigazione e garantire un servizio di alta qualità. Cliccando su "Accetta", acconsenti all'utilizzo dei cookie non essenziali. Al contrario, selezionando "Rifiuta" o chiudendo questo banner, puoi procedere senza accettare l'uso dei cookie non essenziali.
Functional
Sempre attivo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
Questo sito web utilizza Cookie non essenziali al fine di ottimizzare l'esperienza di navigazione e garantire un servizio di alta qualità. Cliccando su "Accetta", acconsenti all'utilizzo dei cookie non essenziali. Al contrario, selezionando "Rifiuta" o chiudendo questo banner, puoi procedere senza accettare l'uso dei cookie non essenziali.
Functional
Sempre attivo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.