Panoramica sulle misure per il contratto standard per il trasferimento transfrontaliero di informazioni personali in uscita dal Paese e la sua applicazione

Panoramica sulle misure per il contratto standard per il trasferimento transfrontaliero di informazioni personali in uscita dal Paese e la sua applicazione

Il 24 febbraio 2023, l’Ufficio Statale per l’informazione su Internet della RPCC ha reso pubbliche sul proprio portale le “Misure per il contratto standard per il trasferimento transfrontaliero di dati personali in uscita dal Paese” (di seguito “Misure per il contratto standard”), che entreranno in vigore il 1° giugno 2023. Le Misure per il contratto standard, che consistono in un contratto standard reperibile presso il sito internet dell’Ufficio Statale per l’informazione su Internet della RPCC e compilabile dalle parti, sono state pubblicate dopo che nello scorso luglio erano state rese note le Misure per la valutazione della sicurezza dei trasferimenti di dati in uscita. Tale pubblicazione rappresenta un’altra importante regolamentazione per i trasferimenti di dati in uscita dal Paese. Al fine di aiutare le imprese a comprendere meglio le ultime disposizioni normative sui contratti standard per il trasferimento transfrontaliero di dati personali in uscita, di seguito si introdurrà brevemente l’applicazione e i punti di maggiore interesse delle Misure per i contratti standard.

1.Background

L’articolo 38 della Legge sulla protezione delle informazioni personali della Repubblica Popolare Cinese prevede tre principali percorsi di conformità per la fornitura di informazioni personali al di fuori della Cina: “superare la valutazione di sicurezza implementata dal Dipartimento di Stato per l’Informazione su Internet”, “far certificare la protezione delle informazioni personali da istituzioni professionali in conformità con i regolamenti del Dipartimento di Stato per l’Informazione su Internet” e “stipulare un contratto con il destinatario all’estero in conformità con il contratto standard stabilito dal Servizio di Stato per l’Informazione su Internet” (di seguito denominato “percorso di conformità del contratto standard”). Rispetto ai primi due metodi, la firma del contratto standard è generalmente considerata una via più conveniente per i meccanismi di trasferimento delle informazioni personali.

2. Scenari di applicazione dei contratti standard

I contratti standard sono applicabili solo al trasferimento transfrontaliero di informazioni personali e devono essere sottoposti a una valutazione di sicurezza nel caso in cui si tratti di un trasferimento in uscita di dati importanti. Secondo l’articolo 4 delle Misure per i contratti standard, in generale, se un incaricato del trattamento di informazioni personali fornisce informazioni personali all’estero stipulando un contratto standard, devono essere soddisfatte anche le seguenti circostanze: (1) l’incaricato del trattamento non è un operatore di un’infrastruttura informativa di particolare rilevanza; (2) tratta informazioni personali di meno di un milione di persone; (3) ha fornito informazioni personali di meno di 100.000 persone in totale a destinatari esteri dal 1° gennaio dell’anno precedente; e (4) ha fornito informazioni personali sensibili di meno di 10.000 persone in totale a qualsiasi destinatario estero dal 1° gennaio dell’anno precedente.

3. Passi generali per la firma di un contratto standard

Secondo le Misure per il Contratto Standard, qualora un elaboratore di informazioni personali esegua tali operazioni in conformità con le linee guida imposta dal contratto standard, deve farlo seguendo i seguenti passaggi.

(1) Valutazione di incidenza: prima di fornire informazioni personali al di fuori del Paese, l’elaboratore di informazioni personali deve condurre una valutazione di incidenza sulla protezione delle informazioni personali, che deve includere la scala, la portata, il tipo e la sensibilità delle informazioni personali in uscita.

(2) Firma del contratto: colui che trasmette le informazioni personali e il destinatario all’estero devono stipulare un contratto sulla base di un accordo reciproco.

(3) Registrazione regolamentare: entro 10 giorni lavorativi dalla data di entrata in vigore del contratto standard, l’elaboratore di informazioni personali deve registrare il contratto presso il dipartimento di informazione su internet della provincia in cui si trova. Il contratto standard firmato, così come la relazione di valutazione dell’impatto sulla protezione delle informazioni personali, devono essere presentati per la registrazione.

(4) Follow-up successivo alla firma del contratto: nell’eventualità in cui le informazioni personali siano trasferite all’estero e le politiche e le regolamentazioni di protezione delle informazioni personali del destinatario straniero cambino, l’elaboratore di informazioni personali deve ricondurre la valutazione di incidenza sulla protezione delle informazioni personali, integrare o concludere nuovamente il contratto standard e eseguire le procedure di registrazione corrispondenti.

Con l’avvento dell’era dei c.d. big data e della crescente economia digitale, il trasferimento transfrontaliero di informazioni personali è inevitabile. L’introduzione delle “Misure per i contratti standard” regola ulteriormente le attività di trasferimento di informazioni personali e fornisce una soluzione a dettagliate esigenze regolamentari. Le imprese dovrebbero, alla stregua delle proprie esigenze e strategie commerciali, chiarire gli scenari per il flusso transfrontaliero di informazioni personali e rispettare i requisiti delle autorità regolamentari per il trasferimento transfrontaliero di informazioni personali.

Se siete interessati ai contratti standard per il trasferimento di dati personali in uscita dalla RPCC, siete invitati a contattarci all’indirizzo email info@dandreapartners.com.

Jennie-Lin-S.jpg

Panoramica sulle misure per il contratto standard per il trasferimento transfrontaliero di informazioni personali in uscita dal Paese e la sua applicazione(图2)