In data 1° novembre 2021 è entrato in vigore in Cina il Personal Information Protection Law of the People’s Republic of China (“PIPL”, 个人信息保护法) che ha introdotto una regolamentazione dei dati personali in Cina. Dopo otto mesi dalla sua emanazione le autorità cinesi hanno introdotto nuove regole per il trasferimento transfrontaliero dei dati personali.
Più precisamente, come indicato nel GDPR, Capo V “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, anche nel PIPL, Capo III “Regole per la fornitura transfrontaliera di dati personali” sono indicati i requisiti che devono essere rispettati per tale procedimento.
Ai sensi dell’art. 38, qualora un responsabile del trattamento dei dati personali[1] debba fornire dati personali al di fuori del territorio della Repubblica popolare cinese deve soddisfare i seguenti elementi:
In data 30 giugno 2022, il Cyberspace Administration of China (“CAC”, 国家互联网信息办公室) ha condiviso un draft intitolato “Provisions on the Standard Contract for the Cross-border Transfers of Personal Information” (“Draft Provisions”, 个人信息出境标准合同规定) per la consueta consultazione pubblica, la quale si concluderà il 29 luglio 2022.
Come si evince dall’art. 38 del PIPL, par. 3, il contratto standard è uno strumento legale a cui un’entità può ricorrere per essere compliant nei trasferimenti dei dati personali al di fuori della Cina. Inoltre, giova ricordare che tale contratto dovrà essere sottoscritto e depositato presso il governo cinese.
Ai sensi dell’art. 4 delle “Draft Provisions”, il contratto standard si può utilizzare solo se un’entità è in grado di soddisfare tutti i seguenti requisiti:
Inoltre, l’entità, prima di fornire dati personali all’estero, è obbligata a condurre preventivamente una valutazione d’impatto sulla protezione dei dati personali, prestando attenzione alla legittimità e la necessità del trattamento dei dati personali, la quantità ed il grado di sensibilità dei dati che vengono trasferiti all’estero e i rischi che il trasferimento di quest’ultimi può comportare per i diritti degli interessati. In aggiunta, con l’obiettivo di garantire un trasferimento dei dati sicuro si dovrà tener conto della responsabilità e degli obblighi assunti dal destinatario all’estero, e verranno valutati i rischi di perdita o manomissione dei dati, analizzando anche la normativa del paese di corrispondenza.
Alla luce di tali considerazioni, come indicato “Draft Provisions”, il contratto standard deve contenere i seguenti elementi:
In data 24 giugno 2022, il China’s National Information Security Standardization Technical Committee ha condiviso le “Practical Guidelines for Cybersecurity Standards – Specification for Security Certification of Cross-Border Processing of Personal Information” (“Certification Specification”, 网络安全标准实践指南—个人信息跨境处理活动安全认证规范).
Lo scopo di tale documento è fornire gli elementi necessari per l’attuazione di uno degli schemi di certificazione del Personal Information Protection Law of the People’s Republic of China (“PIPL”, 个人信息保护法), ovvero la certificazione in relazione alle attività di trattamento che coinvolgono determinati trasferimenti di dati transfrontalieri.
Pertanto, sarà possibile ottenere la certificazione per determinate attività:
In conclusione, è ragionevole comparare le “Certification Specification” del diritto cinese con quanto indicato dall’art. 47 del GDPR, le “Binding Corporate Rules” (BCR). Queste ultime sono strumenti a cui gruppi societari ricorrono con l’obiettivo di trasferire dati personali da un Paese comunitario ad un Paese terzo. Pertanto, nel contesto globalizzato della Data Economy, il riconoscimento al trasferimento di dati personali tramite le BCR è un grande vantaggio che le filiali di multinazionali possono trarre e l’intervento del legislatore cinese in materia di protezione dei dati personali testimonia l’importanza che le aziende, esercenti attività commerciale in Cina, devono riservare alle nuove norme cinesi.
[1] Giova ricordare che ai sensi dell’art. 9 del PIPL i responsabili del trattamento dei dati personali sono responsabili delle loro attività di trattamento dei dati personali e adottano le misure necessarie per salvaguardare la sicurezza dei dati personali che trattano.
Articolo a cura di Luca Barbieri
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…