Il 20 Agosto 2021 è stata approvata la Personal Information Protection Law (PIPL) che entrerà in vigore dal 1 Novembre 2021 in Cina. La PIPL riordina la normativa vigente in materia di protezione dati personali, in precedenza contenuta in varie disposizioni della Network Security Law (in vigore da Giugno 2017), del Codice Civile (in vigore da Gennaio 2021) e della Data Security Law (in vigore da Settembre 2021), ed introduce alcune novità.
L'Autorità incaricata di sorvegliare il rispetto della normative è la Cybersecurity Authority of China (CAC).
Ecco una panoramica dei punti principali della disciplina cinese.
Ambito di applicazione
La PIPL si applica a tutti coloro che trattano dati personali di persone fisiche presenti in territorio cinese, indipendentemente dal luogo ove avvenga questo trattamento o dalla sede legale del titolare del trattamento. La PIPL ha quindi un effetto extraterritoriale, potendo applicarsi sia agli enti stabiliti in Cina, che a coloro che operano al di fuori della Cina.
Sanzioni
Le violazioni della PIPL vengono punite con sanzioni fino al 5% dei ricavi annuali o 50 milioni di RMB (circa 6.705.000 euro).
Legittimità del trattamento e consenso specifico
La Network Security Law prevedeva che per la legittimità del trattamento dei dati personali bastasse l'informativa ed il consenso dell'interessato. La PIPL aggiunge a questi due requisiti un elenco di ragioni giuridiche poste a base del trattamento elencate nell'art 13 e che includono, tra le altre: gestione di contratti, gestione delle risorse umane, dati personali già divulgati, salute e pubblica sicurezza.
Il consenso dell'interessato deve essere autonomo, esplicito e preferibilmente documentato per iscritto, a meno che non venga riconosciuto un interesse pubblico preminente o una situazione di emergenza sanitaria.
Il consenso dell'interessato deve inoltre essere specifico e separato per intraprendere determinate azioni come il trattamento di dati sensibili o il trasferimento dei propri dati all'estero.
I requisiti del consenso dell'interessato dovrebbero indurre gli operatori soggetti alla PIPL a prediligere sistemi di opt-in invece di opt-out per raccogliere il consenso degli interessati.
Diritti dell'interessato
diritto ad essere informato delle finalità e modalità trattamento
diritto di accesso alle proprie informazioni e di ottenerne una copia
diritto alla rettifica o cancellazione dei propri dati
diritto di rifiutare di essere sottoposto a decisioni automatizzate e non essere soggetto a trattamenti commerciali discriminatori (ad esempio relativi al prezzo o alle condizioni di vendita)
diritto di rifiutare il trattamento dei propri dati personali con finalità di marketing
diritto di disattivare contenuti e annunci targhettizzati in base alle proprie caratteristiche personali
Localizzazione dei dati e trasferimento dei dati all'estero
La PIPL richiede che i titolari di trattamento di dati personali su vasta scala e gli operatori di infrastrutture critiche (che trattano di informazioni che possano ledere la sicurezza o l'interesse pubblico) conservino i dati all'interno del territorio cinese. In questi casi ogni trasferimento all'estero dei dati deve essere soggetto ad un security assessment della Cyberspace Administration of China (CAC). Si considera trasferimento all'estero dei dati anche l'accesso in remoto dall'estero a dati conservati in Cina.
I titolari di trattamento di dati personali su piccola scala possono invece trasferire dati all'estero senza il preventivo security review della CAC, a patto che tale trasferimento rispetti le condizioni indicate dalla legge, tra cui: la firma di un contratto per il trasferimento dati con l'operatore estero secondo il modello tipo fornito dalla CAC, l'ottenimento di un consenso specifico dell'interessato, un preventivo “data protection impact assessment”.
Data Protection Impact Assessment (DPIA)
La PIPL richiede il DPIA in determinati casi quali: l'applicazione di processi decisionali automatizzati, il trattamento di dati sensibili, la comunicazione dati a terze parti, il trasferimento dati tra diversi titolari di trattamento ed il trasferimento di dati all'estero.
Notifica di Data Breach
La PIPL richiede una notifica “tempestiva” alle autorità di qualsiasi data breach. La tempestività, potrebbe richiede un lasso di tempo inferiore alle 72 ore dalla scoperta del data breach previste dal GDPR europeo.
Obblighi del titolare del trattamento
Gli articolo 51 a 56 della PIPL indicano dettagliatamente gli obblighi del titolare del trattamento dei dati personali, che includono misure organizzative, amministrative e di sicurezza informatica.
Tra le misure organizzative, segnaliamo la nomina di un Data Protection Officer per i trattamenti di dati personali su vasta scala e di un rappresentante locale in Cina per i titolari e incaricati del trattamento stabiliti all'estero.
L'art 62 della PIPL prevede alcune esenzioni dagli obblighi più gravosi e stringenti per piccole imprese che trattano dati su piccola scala.
Conclusioni
In conclusione, la PIPL da una parte sembra riprendere i principi generali, i diritti e gli obblighi stabiliti dal GDPR (Regolamento UE 2016/679), mentre dall'altra prevede degli standard più elevati e stringenti per le imprese. Per questa ragione, essere GDPR-compliant non necessariamente equivale sempre ad essere PIPL-compliant.
Avv. Lifang Dong e Avv. Chiara Civitelli
Il contenuto di questo articolo non costituisce un parere legale, ma ha funzione informativa. Per una consulenza legale personalizzata, contattare lo studio all’ e-mail info@dongpartners.eu o al telefono +39 06 916505710. © Dong & Partners International Law Firm, Tutti diritti riservati
Kommentarer