PIPL: la disciplina cinese dei trasferimenti transfrontalieri dei dati

In data 1° novembre 2021 è entrato in vigore in Cina il Personal Information Protection Law of the People’s Republic of China (“PIPL”, 个人信息保护法) che ha introdotto una regolamentazione dei dati personali in Cina. Dopo otto mesi dalla sua emanazione le autorità cinesi hanno introdotto nuove regole per il trasferimento transfrontaliero dei dati personali.

Più precisamente, come indicato nel GDPR, Capo V “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, anche nel PIPL, Capo III “Regole per la fornitura transfrontaliera di dati personali” sono indicati i requisiti che devono essere rispettati per tale procedimento.

Ai sensi dell’art. 38, qualora un responsabile del trattamento dei dati personali[1] debba fornire dati personali al di fuori del territorio della Repubblica popolare cinese deve soddisfare i seguenti elementi:

  1. superamento di una valutazione di sicurezza da parte del Cyberspace Administration of China (“CAC”, 国家互联网信息办公室);
  2. certificazione di protezione dei dati personali condotta da un’organizzazione professionale, nelle vesti di ente terzo, in conformità con il Cyberspace Administration of China (“CAC”, 国家互联网信息办公室);
  3. stipulare un contratto standard con il destinatario estero secondo il contratto tipo formulato dal Cyberspace Administration of China (“CAC”, 国家互联网信息办公室) stabilendo sia i diritti e gli obblighi di entrambe le parti;
  4. altre condizioni previste da leggi, regolamenti amministrativi dal Cyberspace Administration of China (“CAC”, 国家互联网信息办公室).

Standard Contractual Clauses (SCC)

In data 30 giugno 2022, il Cyberspace Administration of China (“CAC”, 国家互联网信息办公室) ha condiviso un draft intitolato “Provisions on the Standard Contract for the Cross-border Transfers of Personal Information” (“Draft Provisions”, 个人信息出境标准合同规定) per la consueta consultazione pubblica, la quale si concluderà il 29 luglio 2022.

Come si evince dall’art. 38 del PIPL, par. 3, il contratto standard è uno strumento legale a cui un’entità può ricorrere per essere compliant nei trasferimenti dei dati personali al di fuori della Cina. Inoltre, giova ricordare che tale contratto dovrà essere sottoscritto e depositato presso il governo cinese.

Ai sensi dell’art. 4 delle “Draft Provisions”, il contratto standard si può utilizzare solo se un’entità è in grado di soddisfare tutti i seguenti requisiti:

  1. il soggetto in questione non deve risultare nella categoria dei Critical Information Infrastructure Operators (CIIO);
  2. la gestione dei dati personali deve essere inferiore ad 1 milione di persone;
  3. dal 1° gennaio dell’anno precedente, la quantità cumulativa di dati personali fornite all’estero non ha raggiunto le 100.000 persone;
  4. dal 1° gennaio dell’anno precedente, la fornitura cumulativa di dati personali sensibili all’estero non ha raggiunto 10.000 persone.

Inoltre, l’entità, prima di fornire dati personali all’estero, è obbligata a condurre preventivamente una valutazione d’impatto sulla protezione dei dati personali, prestando attenzione alla legittimità e la necessità del trattamento dei dati personali, la quantità ed il grado di sensibilità dei dati che vengono trasferiti all’estero e i rischi che il trasferimento di quest’ultimi può comportare per i diritti degli interessati. In aggiunta, con l’obiettivo di garantire un trasferimento dei dati sicuro si dovrà tener conto della responsabilità e degli obblighi assunti dal destinatario all’estero, e verranno valutati i rischi di perdita o manomissione dei dati, analizzando anche la normativa del paese di corrispondenza.

Alla luce di tali considerazioni, come indicato “Draft Provisions”, il contratto standard deve contenere i seguenti elementi:

  • le informazioni di base dei responsabili del trattamento dei dati personali e dei destinatari all’estero, inclusi, a titolo esemplificativo ma non esaustivo, nome, indirizzo, nome di contatto, informazioni di contatto;
  • la finalità, la portata, il tipo, la sensibilità, la quantità, il metodo, il periodo di conservazione, il luogo di conservazione dei dati personali oggetto di trasferimento all’estero;
  • la responsabilità e gli obblighi dei responsabili del trattamento dei dati personali e dei destinatari all’estero, nonché le misure tecniche per prevenire i rischi per la sicurezza che possono derivare dal trasferimento di quest’ultimi;
  • l’impatto delle politiche e dei regolamenti sulla protezione delle informazioni personali del paese o della regione in cui si trova il destinatario all’estero sul rispetto dei termini del presente contratto;
  • i diritti degli interessati e le modalità per esercitare quest’ultimi;
  • le clausole per la risoluzione del contratto e per la responsabilità per inadempimento contrattuale.

Guidelines for Cybersecurity Standards

In data 24 giugno 2022, il China’s National Information Security Standardization Technical Committee ha condiviso le “Practical Guidelines for Cybersecurity Standards – Specification for Security Certification of Cross-Border Processing of Personal Information” (“Certification Specification”, 网络安全标准实践指南—个人信息跨境处理活动安全认证规范).

Lo scopo di tale documento è fornire gli elementi necessari per l’attuazione di uno degli schemi di certificazione del Personal Information Protection Law of the People’s Republic of China (“PIPL”, 个人信息保护法), ovvero la certificazione in relazione alle attività di trattamento che coinvolgono determinati trasferimenti di dati transfrontalieri.

Pertanto, sarà possibile ottenere la certificazione per determinate attività:

  • trattamento transfrontaliero di dati personali tra filiali o affiliate di una società multinazionale o della stessa entità economica;
  • trattamento dei dati personali coperto dalla portata extraterritoriale del PIPL (art. 3, par. 2), ovvero quando lo scopo è di analizzare e valutare le attività delle persone fisiche domestiche al di fuori del territorio della Repubblica popolare cinese.

Conclusioni

In conclusione, è ragionevole comparare le “Certification Specification” del diritto cinese con quanto indicato dall’art. 47 del GDPR, le “Binding Corporate Rules” (BCR). Queste ultime sono strumenti a cui gruppi societari ricorrono con l’obiettivo di trasferire dati personali da un Paese comunitario ad un Paese terzo. Pertanto, nel contesto globalizzato della Data Economy, il riconoscimento al trasferimento di dati personali tramite le BCR è un grande vantaggio che le filiali di multinazionali possono trarre e l’intervento del legislatore cinese in materia di protezione dei dati personali testimonia l’importanza che le aziende, esercenti attività commerciale in Cina, devono riservare alle nuove norme cinesi.

Note

[1] Giova ricordare che ai sensi dell’art. 9 del PIPL i responsabili del trattamento dei dati personali sono responsabili delle loro attività di trattamento dei dati personali e adottano le misure necessarie per salvaguardare la sicurezza dei dati personali che trattano.

 

Articolo a cura di Luca Barbieri

Profilo Autore

Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Prof. A. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto numerosi esami in diritto cinese e cyber security. Inoltre, ha conseguito il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre.
Attualmente collabora in uno studio legale specializzato in diritto delle nuove tecnologie, privacy e cyber security.

Condividi sui Social Network:

Articoli simili