Il provvedimento “Dieci casi tipici di controversie sui dati transfrontalieri”, pubblicato dal Tribunale di Internet di Guangzhou nel settembre 2024, ha definito la controversia relativa alla trasmissione transfrontaliera di dati personali da parte di una catena alberghiera internazionale [(2022) Yue 0192 Min Chu No. 6486] come “il primo caso giudiziario sul trasferimento transfrontaliero di dati personali” in Cina. Tale caso giudiziario ha, in modo inedito, definito le regole per l’accertamento giudiziario della conformità del trattamento transfrontaliero dei dati personali, fornendo un modello pratico di riferimento che agevolerà gli operatori del settore. Questo articolo illustra i principi relativi alla verifica della legalità del trattamento transfrontaliero di dati personali pronunciati dal Tribunale di Internet di Guangzhou nella definizione del predetto contenzioso.
Breve introduzione
Nel caso di specie, il ricorrente (una persona fisica) ha acquistato una Carta Socio rilasciata da un hotel internazionale (convenuto) e ha prenotato servizi di soggiorno all’estero tramite l’APP dell’hotel. Durante il processo di prenotazione, il ricorrente ha cliccato e accettato, mediante spunta di una casella, le “Regole di protezione dei dati personali dei clienti” (“Regole”) fornite dall’hotel, fornendo informazioni come nome, numero di telefono, nazionalità, conto bancario, ecc. Successivamente, l’attore ha scoperto che tutte le informazioni personali da lui fornite sarebbero state trasmesse e condivise in diverse regioni e con vari soggetti all’estero. Ritenendo che tale trasmissione e condivisione transfrontaliera dei dati personali da parte dell’hotel eccedesse l’ambito necessario all’ esecuzione del contratto, con conseguente illiceità del trattamento, il ricorrente ha adito il Tribunale di Internet di Guangzhou.
La sentenza del Tribunale di Internet di Guangzhou ha stabilito che la raccolta delle informazioni personali da parte del convenuto per consentire ai consumatori di prenotare servizi alberghieri all’estero e trasferirle all’hotel corrispondente è necessaria per l’adempimento del contratto e non richiede un consenso separato. Tuttavia, il convenuto non ha rispettato il principio di apertura e trasparenza, omettendo di informare in modo veritiero, accurato e completo il ricorrente circa le regole sul trattamento e non adempiendo correttamente agli obblighi di notifica previsti dalla legge. Inoltre, la condotta del convenuto di trattamento e trasferimento di informazioni personali verso una società terza situata in Paesi terzi per scopi di marketing commerciale ha ecceduto le finalità necessarie all’esecuzione del contratto, e non è stata fondata su un’informativa adeguata resa al soggetto interessato né sul suo separato consenso. Tale condotta costituisce un trattamento illecito e lede i diritti e gli interessi legati alla protezione delle informazioni personali, e il convenuto è quindi tenuto a rispondere per responsabilità civile da illecito.
- Implicazioni per il trattamento transfrontaliero di dati personali
Come determinare se il trattamento di dati personali è “necessario per l’esecuzione del contratto”
Nella sentenza relativa a questo caso, il Tribunale di Internet di Guangzhou ha affermato che la determinazione della necessità del trattamento dei dati personali per l’esecuzione del contratto si basa principalmente sui seguenti criteri: (i) se l’ambito dei dati personali raccolti e trattati, nonché l’ambito della condivisione con altri destinatari esteri, sia necessario per l’esecuzione del contratto; (ii) se la finalità del trattamento è necessaria per l’esecuzione del contratto.
- Come adempiere all’obbligo di informare e ottenere il consenso
In questo caso, il tribunale ha chiarito che il fondamento giuridico per il trattamento dei dati personali si basa sul consenso della persona interessata, e che quest’ultimo presuppone che essa sia stata adeguatamente informata. Il Tribunale ha sottolineato l’importanza della trasparenza e della completezza nell’informazione circa le modalità e finalità del trattamento.
Per quanto riguarda l’obbligo di “informativa”, salvo diversa disposizione di legge, il titolare del trattamento delle informazioni personali deve informare il soggetto cui i dati si riferiscono in base ai principi e alle modalità stabilite dagli articoli 7 e 17 della Legge sulla Protezione delle Informazioni Personali della Repubblica Popolare Cinese. In particolare, deve rendere note le regole di trattamento delle informazioni personali, informando i soggetti cui i dati si riferiscono in modo visibile e con linguaggio chiaro e comprensibile, in maniera veritiera, accurata e completa, relativamente a: nome e contatto del titolare del trattamento; scopo, modalità, ambito e periodo di conservazione delle informazioni personali; modalità e procedura con cui un individuo può esercitare i propri diritti legali, ecc.
In merito al “consenso”, a eccezione delle situazioni previste dall’articolo 13 della Legge sulla Protezione delle Informazioni Personali, il titolare del trattamento è tenuto a ottenere il consenso degli utenti in anticipo. In cinque situazioni specifiche è necessario ottenere il consenso separato dell’utente: trasferire le informazioni personali ad altri titolari; divulgare informazioni personali; utilizzare immagini e informazioni di identificazione personale raccolte in luoghi pubblici tramite dispositivi di raccolta di immagini e identificazione per scopi diversi dal mantenimento della sicurezza pubblica; trattare informazioni personali sensibili; e trasferire informazioni personali all’estero.
- Se l’azione dell’utente di selezionare l’opzione di consenso alle regole di trattamento dei dati personali nell’APP produce necessariamente l’effetto giuridico di “consenso”
Il Tribunale Internet di Guangzhou ha chiarito in questo caso che il semplice clic dell’utente sulla politica della privacy visualizzata dalle applicazioni mobili (APP) non ha necessariamente l’effetto legale di consenso a tale politica. La validità giuridica del consenso espresso tramite clic dipende dal fatto che le operazioni successive del titolare del trattamento richiedano o meno, a norma di legge, una notifica e un consenso “rafforzati”. Se è necessario (come nei casi, sopra indicati, in cui è richiesto un consenso separato dell’utente), il clic di accettazione della politica della privacy non è sufficiente per avere valore legale di consenso; mentre può assumere tale valore nei casi in cui non sia richiesto un consenso “rafforzato”.
Conclusioni
Il caso giudiziario esposto in questo articolo è attualmente un caso guida nel campo della valutazione della legalità del trattamento transfrontaliero dei dati personali in Cina, fornendo utili indicazioni pratiche a livello giudiziario per la verifica della conformità legale nella trasmissione transfrontaliera di tali dati. Si raccomanda ai titolari del trattamento dei dati che effettuano trasferimenti transfrontalieri degli stessi di limitare l’ambito delle informazioni raccolte entro i limiti strettamente necessari e di adempiere con attenzione agli obblighi di notifica e acquisizione del consenso, tenendo conto dei principi espressi nella decisione in oggetto. È inoltre consigliato effettuare una revisione di conformità delle attività di trattamento dei dati personali in anticipo, per garantire che la trasmissione dei dati trattati avvenga in modo conforme alle normative.