Andrea Puligheddu
Introduzione e soggetti coinvolti
A partire dal 1/11 2021, tutte le aziende con sedi in Cina o che sono site in altri Paesi ma hanno interessi commerciali in Cina e che trattano o tratteranno dati personali riferiti a cittadini cinesi, dovranno rispettare le stringenti regole imposte dalla nuova normativa in materia di protezione dei dati personali promossa dalla Cina, la People’s Republic of China’s new Personal Information Protection Law (PIPL).
Nel corso della trattazione faremo un uso convenzionale di alcuni termini, utilizzando riferimenti propri delle legislazioni in materia di data protection occidentali, onde consentire una più facile comprensione al lettore.
Come è strutturata
La PIPL è strutturata in 74 articoli, suddivisi in otto capitoli.
Il primo capitolo (artt. 1-12) contiene alcune “Previsioni Generali”; il secondo, più sostanzioso (artt. 13- 37), delinea quelle che sono le regole per il trattamento di dati personali, ed è a sua volta costituito da due sezioni: è in questa parte della PIPL che troviamo le regole base sulla sicurezza dei trattamenti, basi giuridiche e garanzie da applicare ai trattamenti di dati personali e sensibili.
Il terzo capitolo descrive quelle che sono le condizioni per poter realizzare un trattamento transfrontaliero di dati personali, verso un paese terzo rispetto alla Cina. Il quarto disciplina i diritti degli interessati, il quinto gli obblighi in capo alle organizzazioni che trattano dati personali (come si vedrà, non si parla di Titolare o Responsabile del trattamento, benché figure analoghe a quelle appena menzionate abbiano un loro posto preciso sulla scacchiera). Da ultimo vengono affrontati i temi più istituzionali: il sesto capitolo fa una panoramica delle norme applicabili alle autorità di competenti per l’enforcement della PIPL. Il settimo inquadra quello che è l’impianto sanzionatorio (imponente e niente affatto sfumato) mentre l’ottavo capitolo chiude la legge in questione con alcune “previsioni supplementari”, che probabilmente in un Paese occidentale costituirebbero il punto di partenza di ogni testo legislativo (es. definizioni).
Analogie con il GDPR
Ad una prima analisi, le analogie tra GDPR e PIPL sono numerose.
Ecco le principali:
1) La PIPL e il GDPR definiscono i dati personali come riguardanti persone fisiche identificate e identificabili. La definizione è in massima parte identica per entrambi rispetto al concetto di “dato personale”.
2) La PIPL utilizza lo stesso risk-based approach adottato dal GDPR per disciplinare la verifica circa il rispetto degli obblighi sul trattamento di dati personali.
3) Sia la PIPL che il GDPR hanno applicabilità extraterritoriale. In altre parole l’applicazione dei requisiti imposti da entrambe le norme sono da ritenersi necessarie per i trattamenti di dati personali che trattano dati personali di persone fisiche ricomprese anche oltre il perimetro territoriale indicato (Cina per la PIPL ed UE per GDPR).
https://www.traditionrolex.com/15
4) La PIPL e il GDPR riconoscono molti degli stessi diritti in capo agli interessati ed entrambi prevedono la formazione dei dipendenti in ambito privacy come uno dei requisiti principali per le organizzazioni che trattano dati personali.
5) Anche se il concetto di dati sensibili indicato dalla PIPL e quello di categorie particolari di dati personali previsto dal GDPR sono diversi, entrambi sono oggetto di una importante tutela.
6) Anche se in circostanze diverse, sia il PIPL che il GDPR richiedono la presenza di una figura di riferimento in materia di data protection (DPO per il GDPR e una più generica persona di riferimento incaricata della sorveglianza circa il rispetto della PIPL per quest’ultima).
7) Sia la PIPL che il GDPR richiedono valutazioni d’impatto sulla protezione dei dati (DPIA) in determinate situazioni, anche se nella PIPL l’individuazione di un livello di sicurezza è dato come presupposto in qualsiasi trattamento in modo più tassativo e stringente rispetto al GDPR.
8) Sia la PIPL che il GDPR gestiscono in modo simile -al netto di alcune differenze importanti sul concetto di data breach- il meccanismo di notifica a doppio binario (Autorità e interessati) relativo a una violazione dei dati.
Differenze principali con il GDPR
1) La PIPL ha un forte impronta di localizzazione e perimetrazione geografica dei trattamenti di dati personali.
2) La PIPL amplia il concetto di dati sensibili rispetto al GDPR. Per esempio, i dati finanziari sono sensibili sotto la PIPL ma non sotto il GDPR.
4) La PIPL riconosce una tutela post-mortem per i dati personali in modo superiore a quanto previsto all’interno del GDPR.
3) La PIPL richiede un rappresentante in Cina per i gestori di dati stranieri, con ruolo e potere diverso da quello del rappresentante previsto dal GDPR.
5) La PIPL ha requisiti apparentemente meno dettagliati per il trasferimento transfrontaliero dei dati rispetto a quelli del GDPR, anche se comunque rigidi.
6) Sotto la PIPL, la notifica della violazione dei dati deve essere “immediata” senza il termine specifico di 72 ore del GDPR. La PIPL ha inoltre un divieto per il personale responsabile della gestione delle violazioni di ricoprire posizioni di alto livello aziendale o di “DPO”, prevedendo che in altre parole tali ruoli non possano interferire tra loro.
7) Il PIPL riconosce sanzioni fino al 5% delle entrate annuali. Il GDPR ha un massimale sanzionatorio del 2% e 4% delle entrate annuali. Inoltre il GDPR prende come riferimento il fatturato globale su base annua, mentre per la PIPL non è chiaro questo passaggio.
8) In molte occasioni la PIPL usa una terminologia diversa dal GDPR, rispetto alla quale non sono chiari gli ambiti applicativi. Per esempio:
– gli “interessati” del GDPR sono chiamati più genericamente “individui” nella PIPL.
– i “titolari del trattamento dei dati” del GDPR sono chiamati “gestori di informazioni personali” nella PIPL.
– i “responsabili del trattamento dei dati” del GDPR sono chiamati “soggetti affidatari/incaricati“ nella PIPL.
9) La PIPL non si avvale della base legale dell’interesse legittimo per trattare dati personali, che invece il GDPR riconosce.
10) La data retenion nella PIPL sembra normata in modo più stringente rispetto a quanto previsto dal GDPR
11) Nella PIPL sono previsti obblighi informativi diversi a seconda che si trattino dati personali o dati sensibili. Anche il sistema di basi giuridiche è parzialmente diverso, specialmente in materia di consenso.
Conclusioni: to do list per essere in regola e sanzioni
Al netto delle differenze e delle analogie qui riassunte, è chiaro che la PIPL rappresenta un passo di conformità necessario per le aziende che operano in cina o desiderano farlo, siano esse importer, exporter o outsurcer/ed.
La PIPL aumenta significativamente il livello delle sanzioni rispetto al GDPR, che possono essere imposte per attività illegali di trattamento dei dati personali. Le violazioni possono portare a una sanzione amministrativa fino al 5% del fatturato annuale, più altri scaglioni pecuniari per enti con fatturati ridotti. Come già indicato, non è chiaro al momento se il fatturato annuale sia da calcolare a livello di entità o a livello di gruppo (come il concetto di “impresa” sotto il GPDR) per le entrate generate dalla Cina. In ogni caso, si tratta di un enorme aumento rispetto alla legislazione attuale.
Inoltre vengono introdotte le responsabilità personali all’interno della PIPL: una multa amministrativa fino a 1 milione di RMB (circa 135.000 EUR) può essere imposta alla persona responsabile o ad altro personale direttamente responsabile (ad esempio il Legale Rappresentate).
Va anche considerato che in casi gravi, secondo la PIPL le violazioni possono anche innescare responsabilità penali.
A tal fine, si consiglia di seguire la seguente roadmap o di esigerla dai Partner/fornitori con cui si interagisce nel contesto della Repubblica Popolare Cinese:
- Realizzare un Assessment specifico che fotografi lo stato dell’arte e i gap di conformità esistenti nel perimetro di riferimento rispetto ad una piena applicazione della PIPL all’azienda esaminata.
- Mappare i trattamenti e le basi giuridiche all’interno del perimetro di riferimento secondo i crismi della PIPL, costruendo un Registro dei trattamenti distinto da quello GDPR.
- Verificare la presenza dei requisiti documentali e di sicurezza per i flussi di dati transfrontalieri.
- Verificare e condurre le DPIA ove necessario.
- Adempiere agli obblighi di informativa e di gestione dei diritti degli interessati.
- Realizzare una profonda analisi delle misure di sicurezza correlate alle singole attività di trattamento.
- Prevedere una procedura di immediato riscontro per la gestione dei data breach (la scelta naturale diventa l’individuazione di un partner tecnologico adeguato a questa necessità in loco)
- Particolarmente importante stabilire e individuare un referente che funga da centro stella per la gestione interna delle eventuali richieste da parte di interessati e, se si opera dall’esterno del perimetro cinese, nominare un rappresentante e un DPO.
- Se si è una data company (precisamente una piattaforma che rende servizi a una larga platea di utenti mediante internet) ci sono molteplici obblighi aggiuntivi che non possono essere qui esaminati nel dettaglio da tenere in considerazione.