In Cina, sono imposti per la prima volta requisiti di tutela delle informazioni personali degli utenti digital, con l’entrata in vigore del Personal Information Protection Law (PIPL).
Il PIPL è la nuova legge sulla privacy dei dati in Cina, mirata alla protezione delle informazioni personali e ad affrontare i problemi con la fuga di dati personali. Il PIPL getta le basi per la protezione dei dati personali in Cina. Le sfide poste dalla nuova normativa sono numerose.
Per capire meglio come cambierà il panorama digitale cinese, in una serie di articoli approfondiremo la nuova normativa, le sue applicazioni e implicazioni.
Abbiamo tenuto anche un webinar con lo studio di avvocati LCA!
Ottieni la registrazione: “Cybersecurity e Protezione dei dati personali in Cina”
La Cina aveva già avviato un piano di sicurezza informatica e dei dati nel 2017, con la China Cybersecurity Law (CSL). Questa legge rappresenta la prima normativa che si prefigge di regolamentare il trattamento dei dati e questioni di sicurezza informatica. La legge attribuisce totale competenza di controllo alle autorità governative cinesi. In particolar modo, viene applicata agli Operatori di Rete ed alle Infrastrutture Critiche Informatizzate (CII).
Nonostante ciò, la protezione dei dati personali è sempre stata un’area frammentata. Di conseguenza, la creazione di una legge ad-hoc era diventata necessaria, soprattutto in un’ecosistema in costante sviluppo ed espansione come quello cinese.
A Novembre 2021, la CSL verrà affiancata dal PIPL, la prima legge organica e sistematica che disciplina il trattamento dei dati personali in Cina. La normativa mira a proteggere i diritti e gli interessi degli utenti, regolando le attività di trattamento delle informazioni personali.
Leggi anche: Stop ai Walled Garden in Cina; quali prospettive per il marketing?
PIPL: la legge cinese sulla privacy
Il PIPL è costituito da 70 articoli. Questi includono vari temi: definizione di informazioni personali e sensibili, consenso informato e liberamente espresso, uso governativo e trasferimenti all’estero delle informazioni.
Protezione dei dati in Cina: il consenso
Il PIPL amplia la base giuridica della Cybersecurity law: il consenso. Elenca, infatti, una serie di basi giuridiche: necessità di eseguire un contratto, di adempiere a un obbligo legale, la risposta a un evento di emergenza sanitaria, di proteggere la vita, la sicurezza della proprietà in casi di emergenza, la pubblicazione di notizie e la supervisione da parte dell’opinione pubblica per interessi pubblici [Art. 13].
Il consenso informato e libero diviene requisito essenziale per qualsiasi uso da parte delle piattaforme. Inoltre, è previsto un consenso separato per il trattamento dei dati sensibili e dei minori di 14 anni. A ciò si aggiunge un ulteriore consenso separato per il trasferimento transfrontaliero dei dati personali.
Vengono inoltre stabiliti i diritti degli utenti, assenti nella Cybersecurity law. Ora gli utenti possono rifiutare e limitare il modo in cui i loro dati vengono gestiti, richiederne la cancellazione e/o revocare il consenso. Inoltre, possono fare ricorso se i propri dati sono utilizzati illecitamente. A ciò si aggiunge l’obbligo da parte dei gestori di spiegare i motivi e le modalità di raccolta dei dati.
La legge cinese per la protezione dei dati non prevede però il diritto alla portabilità dei dati, togliendo la possibilità di non trasmettere in modo criptato i propri dati all’aziende cui devono essere trasferiti. L’introduzione di tale diritto avrebbe fortemente ridotto il potere delle grandi piattaforme cinesi.
Concetti e principi del PIPL
Il PIPL chiarisce anche i concetti alla base della sua stesura: dato personale e sensibile, trattamento dei dati personali e relativo responsabile.
➢ per dato personale si intende qualsiasi informazione relativa a persone fisiche identificate o identificabili, registrate con mezzi elettronici o con altri mezzi. Centrale è quindi l’identificabilità dell’individuo. Secondo la nuova legge cinese sono dati personali: il nome, la data di nascita, il numero di ID, i dati biometrici, indirizzi e telefono e dati pseudonimizzati che permettono di risalire all’identità dell’individuo [Art. 4]
➢ i dati sensibili comprendono informazioni che, se trattati o diffusi illecitamente, possono generare discriminazioni contro l’individuo e pregiudicarne diritti fondamentali: origine etnica, credo religioso, stato di salute e situazione finanziaria [Art. 29].
➢ il trattamento delle informazioni personali include la raccolta, l’archiviazione, l’uso, l’elaborazione, la trasmissione, la fornitura, la divulgazione e la cancellazione dei dati personali.
➢ il responsabile del trattamento delle informazioni personali si riferisce a un’organizzazione o a un individuo che decide in modo indipendente lo scopo e il metodo di trattamento delle informazioni personali.
La nuova legge cinese sulla protezione dei dati personali si basa su principi comuni al GDPR: liceità, trasparenza, esattezza e di limitazione delle finalità e minimizzazione dei dati.
Rilevante e inaspettato all’interno della legge cinese è il principio diaccountability, ossia di auto responsabilizzazione. Non sono previsti solamente obblighi alle aziende che trattano dati, ma il titolare del trattamento dei dati deve adottare tutte le misure necessarie per la tutela degli interessati del trattamento.
Ambito di applicazione del PIPL
Il PIPL si applica a organizzazioni e individui che elaborano informazioni di identificazione personale in Cina. Ciò include organizzazioni e individui che si trovano al di fuori della Cina ma che elaborano, analizzano o accedono a informazioni di individui su suolo cinese.
Il PIPL obbliga le aziende che trattano grandi quantità di dati a istituire organismi di supervisione indipendenti e di pubblicare rapporti periodici di responsabilità sociale per descrivere le azioni che stanno adottando per proteggere la privacy degli utenti.