Il 10 giugno 2021, il Comitato Permanente del Congresso Nazionale del Popolo cinese (China’s National People’s Congress Standing Committee) ha approvato la legge sulla sicurezza dei dati (Data Security Law), che entrerà in vigore dal primo settembre 2021 e che completa la disciplina approvata nel 2017 con la Legge sulla sicurezza informatica (Cybersecurity Law).
La nuova Data security law ha l'obiettivo da un lato di fornire una solida base giuridica per l'economia digitale cinese, che disciplini il mercato dei dati e la tutela della privacy dei consumatori, e dall'altro di rispondere alle esigenze geopolitiche sulla sovranità digitale e tutela della sicurezza nazionale.
Essa si applica a tutte le attività di trattamento dei dati all'interno del territorio cinese. Qualora tali attività di trattamento siano suscettibili di ledere la sicurezza nazionale, gli interessi pubblici o i diritti e gli interessi legittimi dei cittadini o enti cinesi, si prevede anche una estensione extraterritoriale delle norme fuori dai confini cinesi. Inoltre la Data Security Law consente alla Cina di adottare specifiche contromisure verso qualsiasi stato estero che restringa, proibisca o discrimini la Cina in relazione al trattamento di dati o allo sviluppo di nuove tecnologie per l'utilizzo dei dati (art. 26).
La Data Security law prevede un sistema statale centralizzato per la disciplina del trattamento e scambio di dati. Gli individui e le società soggette a tale sistema, dovranno quindi rispettare una serie di obblighi di protezione, segnalazione e valutazione del rischio della sicurezza dei dati ed assoggettarsi a limiti legali nel trasferimento transfrontaliero dei dati, pena l'applicazione di importanti sanzioni sia verso persone giuridiche che fisiche materialmente responsabili delle violazioni (sanzioni pecuniarie, revoche di licenze e permessi, limitazioni temporanee delle attività economiche). Il dettaglio delle regole di governance dei dati viene rinviato a successive leggi e regolamenti non ancora approvati.
I citati obblighi di sicurezza e compliance variano in base ad un sistema di classificazione dei dati da implementare con provvedimenti successivi.
L'art 36 della Data Security Law stabilisce l'applicazione di sanzioni fino a 10 milioni di RMB (circa 1.31 milioni di Euro) per le aziende operanti in Cina che trasferiscono all'estero i “dati principali” (“core data”) senza una previa approvazione del Governo Cinese. Per “dati principali” si intende qualsiasi informazione relativa alla sicurezza nazionale ed economica della Cina, al benessere dei cittadini ed ad un interesse pubblico rilevante (art 21 della Legge).
Invece, possono essere applicate sanzioni fino a 5 milioni di RMB (circa 655.000 euro) per eventuali trasferimenti all'estero di “dati fondamentali” senza approvazione governativa cinese. L'articolo 45 della Legge prevede sanzioni fino a 1 milione di RMB (circa 131.000 euro) per le persone fisiche responsabili di operazioni in violazione della tutela dei “dati fondamentali”(inclusi i trasferimenti di dati all'estero non autorizzati). I dati fondamentali non sono definiti dalla Data Security Law, che rinvia ad un futuro meccanismo di coordinamento del lavoro sulla sicurezza dei dati nazionali per la classificazione dei dati. Tutte queste sanzioni si applicano anche se le richieste di dati in questione pervengono alle società ed ai soggetti privati da autorità giudiziarie o di polizia straniere. Le richieste di dati da autorità giudiziarie o di polizia straniere saranno trattate dalle autorità cinesi secondo i principi di uguaglianza e reciprocità in conformità alle leggi e trattati internazionali applicabili.
In conclusione, la Data Security Law rende più complicati i trasferimenti di dati al di fuori della Cina e pone in una delicata situazione tutti gli operatori soggetti sia al Data Security Law cinese che al Cloud Act statunitense.
Il Cloud Act (Clarifying Lawful Overseas Use of Data) fu approvato nel 2018 dagli USA sotto l'Amministrazione Trump ed obbliga tutti gli operatori statunitensi e le società straniere con una filiale negli Stati Uniti a comunicare i dati trattati e archiviati all'estero alle autorità giudiziarie o di polizia e agenzie di intelligence americane richiedenti nel corso di un'indagine o procedimento giudiziario.
Così la Cina tutelando la propria sicurezza nazionale attraverso la Data Security Law aggiunge un nuovo tassello al complicato scacchiere geopolitico nella nuova società dell'informazione.
Avv. Lifang Dong e Avv. Chiara Civitelli
Il contenuto di questo articolo non costituisce un parere legale, ma ha funzione informativa. Per una consulenza legale personalizzata, contattare lo studio all’ e-mail info@dongpartners.eu o al telefono +39 06 916505710. © Dong & Partners International Law Firm, Tutti diritti riservati