Dall’attuazione della Cyberscurity Law (“Legge sulla sicurezza informatica”) nel 2017, la legislazione cinese e i nuovi requisiti di conformità volti alla protezione della privacy personale, della sicurezza dei dati e della rete sono sempre stati al centro dell’attenzione delle imprese impegnate nell’e-commerce, facendo affidamento sugli utenti della rete e big data. Il 4 luglio 2021, la Cyberspace Administration of China ha lanciato per la prima volta pubblicamente una procedura di esame della sicurezza della rete per le imprese, e quindi ha esaminato diversi fornitori di servizi di traffico online, incluso il principale servizio di ride-hailing “DiDi Chuxing”. Dallo studio è risultato che DiDi “presenta seri problemi nella raccolta e nell’utilizzo di informazioni private, in violazione di leggi e regolamenti”. L’Amministrazione ha sanzionato la condotta con il ban dell’app, blocco della registrazione dei nuovi utenti e richiesta di rettifica, trasmettendo un severo segnale.

Solamente il 10 giugno 2021, il Comitato Permanente dell’Assemblea Nazionale del Popolo aveva approvato la Data Security Law (Legge sulla Sicurezza dei Dati) della Repubblica Popolare Cinese, che entrerà in vigore il 1° settembre 2021, segnando l’accelerazione del processo legislativo del sistema giuridico cinese per la sicurezza delle informazioni di rete. Sebbene nel suddetto esame sulla sicurezza della rete nei confronti di DiDi, l’amministrazione abbia citato la Cyber Security Law come base legale, è prevedibile che in futuri casi simili, la
Data Security Law sarà di pari rilevanza della Cyber Security Law.

Giurisdizione

La Data Security Law disciplina principalmente tutte le attività di trattamento dei dati all’interno del territorio della Repubblica Popolare Cinese, compresa la raccolta, l’archiviazione, l’uso, l’elaborazione, la trasmissione, la fornitura e la divulgazione dei dati. Se le attività di trattamento dei dati possono ledere la sicurezza nazionale, gli interessi pubblici o i diritti e gli interessi legittimi di cittadini o organizzazioni della Repubblica Popolare Cinese, la giurisdizione è estesa a persone o entità all’estero. Quasi tutte le aziende che fanno affidamento su Internet, big data e informazioni private degli utenti per il proprio funzionamento saranno soggette alla Legge.

Significato

L’adozione della Data Security Law segna un ulteriore passo avanti nel quadro del sistema di supervisione della sicurezza dei dati in Cina dall’entrata in vigore della Cybersecurity Law  e pone le basi per la costruzione di sistemi legali determinanti. In quanto legge speciale, la Data Security Law è subordinata alla National Security Law. Servirà come documento legale di base e guida e diventerà la base giuridica per la formulazione di una serie di leggi successive. In futuro, il sistema per la revisione della sicurezza dei dati e il trasferimento dei dati transfrontaliero previsto dalla Data Security Law sarà collegato e integrato con leggi e regolamenti come la Cybersecurity Law (2017), la Personal Information Protection Law (disegno di legge al secondo voto per la delibera) e le Misure per la valutazione della sicurezza della trasmissione di informazioni personali e dati importanti all’estero (disegno di legge).

Regolamentazione delle transazioni di dati

Per la prima volta, la Data Security Law specifica che il sistema di scambio di dati deve essere istituito e disciplinato dallo Stato, oltre alle attività di transazione di dati e la gestione del mercato di scambio di dati. Ciò significa che per la prima volta nella legislazione è stata riconosciuta la legittimità dei fornitori di servizi di transazione di dati. Attualmente, sotto la guida del governo, sono stati istituiti scambi di big data a Pechino, Shanghai, Shenzhen, ecc. Ci aspettiamo che le transazioni di dati siano ulteriormente regolamentate, con uno sviluppo più razionale.

Dipartimento in carica

La Data Security Law amplia il potere del dipartimento competente incaricato di questi affari dal dipartimento delle informazioni di rete al dipartimento della sicurezza nazionale. La Commissione per la Sicurezza Nazionale creerà un meccanismo di coordinamento per coordinare tutte le regioni e i dipartimenti nell’applicazione della Legge. Nel frattempo, il National Network Information Department sarà responsabile della sicurezza dei dati della rete e del relativo lavoro normativo per la pianificazione e il coordinamento complessivi. Prevedibilmente, la supervisione e la gestione della sicurezza dei dati diventeranno una parte importante della protezione della sicurezza nazionale cinese. Tutte le imprese dovrebbero rafforzare la comunicazione con i dipartimenti competenti pertinenti e migliorare in modo tempestivo ed efficace la governance e la costruzione del sistema di sicurezza dei dati interni dell’azienda.

Aspettativa sulla conformità delle imprese

Ai sensi della Data Security Law, coloro che conducono attività di trattamento dei dati, siano essi imprese o individui, devono adempiere agli obblighi di protezione, segnalazione e valutazione del rischio della sicurezza dei dati.

Una parte fondamentale della Data Security Law richiede che i responsabili del trattamento dei dati considerino la sicurezza nazionale e gli interessi pubblici come prioritarie nello svolgimento delle attività di trattamento dei dati. Una gestione e una misura di protezione più rigorose dovrebbero essere stabiliti per i dati fondamentali nazionali che hanno un impatto sulla sicurezza nazionale, le linee di vita dell’economia nazionale, il sostentamento chiave delle persone e i principali interessi pubblici.

Nello specifico, l’articolo 27 della Legge stabilisce che i responsabili del trattamento dei dati devono “costituire e perfezionare un sistema di gestione della sicurezza dei dati per l’intero flusso di lavoro, organizzare e condurre l’istruzione e la formazione sulla sicurezza dei dati e adottare le misure tecniche corrispondenti e altre misure necessarie per garantire la sicurezza dei dati”. Allo stesso tempo, “Coloro che gestiscono dati importanti devono nominare specificamente il personale responsabile e gli organi di gestione per la sicurezza dei dati e attuare pienamente le responsabilità di protezione della sicurezza dei dati”.

Inoltre, la Data Security Law limita il trasferimento transfrontaliero dei dati per le attività di esecuzione della legge straniera e richiede che tali attività siano approvate dalle autorità competenti.

Rispetto alla Cybersecurity Law, che richiede solo agli operatori delle infrastrutture informatiche importanti di condurre un esame e una valutazione della sicurezza sul trasferimento di dati transfrontalieri, la Data Security Law introduce anche gli obblighi di revisione e valutazione della sicurezza per i responsabili del trattamento dei dati generali quando si tratta di dati fondamentali importanti. Pertanto, se le imprese ordinarie partecipano alla gestione dei dati, sarà anche necessario condurre controlli sulla conformità della sicurezza dei dati interni. Ai sensi dell’articolo 31 della Data Security Law, le condizioni per la governance della sicurezza dei dati saranno dettati dalle leggi e i regolamenti stabiliti separatamente dalle autorità competenti. Tali leggi e regolamenti di supporto non sono ancora stati promulgati, le condizioni di vigilanza e di conformità non sono ancora stati rafforzati, gli standards sono state stabiliti.

Responsabilità

Ai sensi della Data Security Law, se l’impresa non adempie ai suddetti obblighi come gli obblighi di protezione della sicurezza dei dati, gli obblighi di segnalazione e gli obblighi di valutazione del rischio, in condizioni normali, l’impresa sarà sanzionabile con Ordine di Rettifica, Avvertimento e una multa da 50.000 a 500.000 RMB. L’individuo direttamente responsabile potrà essere soggetto a una multa da 10.000 a 100.000 RMB. Se le circostanze della violazione sono gravi, l’impresa sarà soggetta ad un Ordine di sospensione dell’attività, Revoca della licenza o certificato commerciale e una multa da 500.000 a 2.000.000 RMB. Il diretto responsabile sarà soggetto a una multa da 50.000 a 200.000 RMB.

Qualora vengano violati gli obblighi relativi al trasferimento di dati transfrontalieri, l’impresa sarà soggetta a una multa fino a 5 milioni di RMB, mentre la persona direttamente responsabile fino a 500.000 RMB. In caso di violazione delle regole del sistema di gestione dei dati fondamentali dello Stato e di danno alla sovranità nazionale, alla sicurezza e agli interessi di sviluppo, l’impresa può essere punita con una multa fino a 10 milioni di RMB, mentre la persona direttamente responsabile fino a 1 milione di RMB.

Le specifiche circostanze di applicazione delle predette sanzioni saranno da promulgare separatamente dai relativi regolamenti e provvedimenti amministrativi.

Conclusione

In generale, la Data Security Law abbraccia una struttura di sicurezza nazionale forte e chiara, con dettagliate misure di attuazione da promulgare in futuro. Tuttavia, è inevitabile che le imprese nazionali considerino le misure di conformità dei dati come uno dei fattori chiave all’ordine del giorno per quanto riguarda la progettazione del prodotto e il layout del mercato. Mentre una parte importante dei requisiti per la conformità sarà da coordinare con lo stato per la costruzione della classificazione dei dati e sistema di protezione e l’istituzione del meccanismo di controllo interno della gestione dei dati.

È facilmente prevedibile che a breve verranno emanati diversi regolamenti amministrativi di supporto alla Legge che entrerà in vigore il 1° settembre 2021, inclusi i Regolamenti amministrativi dei Ministeri e le Misure e i regolamenti di attuazione dei governi locali. Dal punto di vista pratico, la Data Security Law avrà senza dubbio un profondo impatto sull’operatività delle aziende e sulla governance interna delle imprese.