Il 22 marzo 2024, l’Amministrazione cinese per il cyberspazio ha annunciato ufficialmente il Regolamento sulla Facilitazione e la Regolamentazione del Flusso Transfrontaliero di Dati (“Regolamento”), che è entrato in vigore alla data dell’annuncio. In base ai precedenti requisiti normativi, esistono tre metodi principali per il trasferimento dei dati in uscita: valutazione della sicurezza, contratto standard e certificazione della protezione. Il Regolamento mira a facilitare e ad allentare ulteriormente le condizioni per il flusso transfrontaliero di dati. Ha un impatto importante sulle attività aziendali di trasferimento dei dati, le quali verranno brevemente discusse in questo articolo.
- 1. Il Regolamento prevede esenzioni dalla procedura di vigilanza preventiva nei seguenti casi:
- (1) Trasferimento transfrontaliero di dati privi di informazioni personali o dati importanti nell’ambito del commercio internazionale, dei trasporti transfrontalieri, della cooperazione accademica e delle attività di produzione e marketing transfrontaliere.
- (2) Trasferimento di informazioni personali in transito: si intende il trasferimento in Cina di informazioni personali raccolte e generate all’estero per l’elaborazione, seguita dalla trasmissione al di fuori della Cina, a condizione che tale elaborazione non introduca informazioni personali o dati importanti provenienti dalla Cina.
- (3) Necessità per la conclusione e l’esecuzione di un contratto di cui l’individuo è parte, quali acquisti, spedizioni, trasferimenti di denaro, pagamenti, apertura di conti e prenotazioni di voli e alberghi, nonché l’elaborazione di visti e servizi di esame.
- (4) Trasferimento delle informazioni personali dei dipendenti secondo le necessità di gestione delle Risorse Umane.
- (5) Tutela della vita, della salute e della sicurezza delle persone fisiche in situazioni di emergenza.
- (6) Operatori di infrastrutture informatiche non critiche (“imprese generali”) che hanno trasferito complessivamente meno di 100.000 informazioni personali di individui (escludendo le informazioni personali sensibili) al di fuori della Cina dal 1° gennaio dell’anno in corso.
- 2. Nel caso in cui non siano esenti dal controllo preventivo, le imprese generali devono implementare il sistema di trasferimento dei dati in uscita:
- (1) A partire dal 1° gennaio dell’anno corrente, nel caso in cui il totale delle persone che forniscono informazioni personali all’estero sia superiore a 100.000 ma inferiore a 1 milione (escludendo i dati personali sensibili), oppure se vengono fornite meno di 10.000 informazioni personali sensibili, è richiesto di conformarsi alla legge stipulando un contratto standard con il destinatario all’estero delle informazioni personali in uscita o attraverso la certificazione di protezione dei dati personali.
- (2) A partire dal 1° gennaio dell’anno corrente, nel caso in cui siano state fornite all’estero le informazioni personali di più di 1 milione di persone (escludendo i dati personali sensibili) o le informazioni personali sensibili di più di 10.000 persone, è necessario segnalare l’evento all’amministrazione nazionale del cyberspazio attraverso il dipartimento provinciale di informazione su Internet competente e superare la valutazione di sicurezza per il trasferimento dei dati in uscita.
- 3. Spazio politico speciale per le Zone di Libero Scambio pilota.
Il Regolamento stabilisce che le ZLS possono autonomamente formulare un elenco di dati da includere nell’ambito della gestione della valutazione della sicurezza dei dati in uscita, del contratto standard per le informazioni personali in uscita e della certificazione della protezione delle informazioni personali, denominato “elenco negativo”. I trasferimenti di dati che non rientrano nell’elenco negativo sono esenti da controllo preventivo.
- 4. Altri obblighi di conformità dopo l’esenzione.
È importante sottolineare alle imprese che, indipendentemente dalle circostanze o dal numero di persone che potrebbero essere esentate dalle misure di sicurezza per il trasferimento dei dati all’estero, l’articolo 10 del Regolamento richiede che ogni impresa che trasferisca informazioni personali al di fuori del territorio nazionale debba comunque rispettare gli obblighi previsti dal PIPL. Questi includono l’informazione degli interessati, l’ottenimento del loro consenso separato e la valutazione dell’impatto sulla protezione dei dati personali.
In sintesi, il Regolamento stabilisce un quadro normativo volto a promuovere e regolare il libero flusso dei dati transfrontalieri. Ciò avviene attraverso l’abbassamento delle soglie normative per il trasferimento dei dati in uscita e l’istituzione di una serie di esenzioni, creando un ambiente commerciale ottimizzato per le imprese impegnate in attività transfrontaliere. Tuttavia, consigliamo vivamente alle imprese di prestare costante attenzione alla gestione della conformità dei dati, integrandola nelle proprie strategie aziendali e adottando pratiche di trattamento dei dati adeguate a garantire la piena conformità normativa.