La scorsa settimana la Cyberspace Administration of China (CAC), l’agenzia cinese che si occupa di supervisione e regolamentazione di Internet nel paese, di protezione dei dati personali fino alle norme antitrust, ha pubblicato un nuovo regolamento “Measures on Security Assessment of Cross-Border Data Transfer” relativamente ai trasferimenti transfrontalieri di dati, la cui bozza era già stata resa nota lo scorso novembre.
Tale regolamento, che entrerà in vigore il primo di settembre, e che obbligherà le aziende che operano in territorio cinese a richiedere specifiche autorizzazioni prima di poter trasferire dati personali all’estero, va nella direzione di rafforzare il controllo governativo nello spazio digitale, proprio in un momento in cui l’economia digitale del paese e i trasferimenti di dati transfrontalieri sono in espansione, come sottolineato dalla stessa CAC.
PIPL, cosa dice la legge privacy in Cina: ecco le regole per adeguarsi
Indice degli argomenti
Lo scenario
Negli ultimi cinque anni, la Cina si è dedicata a individuare e a mettere in atto un insieme di regole con l’obbiettivo di creare un proprio mercato dei dati, e di definirne la governance. Nel 2017, il governo ha introdotto la Cybersecurity Law, legge che impone obblighi dettagliati per quanto riguarda la cyber security, seguita dalla Data Security Law (DSL), entrata in vigore il primo settembre 2021, e che si concentra sulla sicurezza nazionale, e dalla Personal Information Protection Law (PIPL) del 2021, che si pone l’obbiettivo di proteggere i diritti e le libertà degli individui, e regolare le attività di trattamento delle informazioni personali.
Sia la DSL che la PIPL impongono sanzioni severe per la raccolta, l’elaborazione, l’archiviazione e l’uso non autorizzati dei dati.
Oltre a PIPL, CSL e DSL, nel 2021 l’ordinamento giuridico cinese è stato arricchito da una serie di regolamenti e di nuovi standard nazionali, come ad esempio il “Civil Code”, primo Codice Civile cinese, entrato in vigore il primo Gennaio 2021, e la “E-commerce Law”, approvata il 31 Agosto 2018 ed entrata in vigore il primo Gennaio 2019, che si occupa di regolare il mercato dell’e-commerce cinese, considerato il più grande al mondo.
Secondo quanto previsto dall’articolo 36 della DSL, le aziende operanti sul territorio cinese che trasferiscono i “dati principali” (“core data”) dello Stato verso un paese estero, in assenza di un’adeguata approvazione fornita dal governo di Pechino, saranno passibili di una sanzione fino a 10 milioni di yuan (circa 1,56 milioni di dollari).
Con il termine “dato principale” il legislatore cinese individua qualsiasi informazione che riguarda la sicurezza nazionale ed economica del paese, il benessere dei cittadini e un interesse pubblico di natura rilevante.
Le Measures on Security Assessment of Cross-Border Data Transfer, vanno di fatto a completare il quadro già introdotto e richiedono che i trasferimenti di dati cosiddetti “importanti” e massicci dalla Cina verso destinazioni estere siano soggetti a una valutazione di sicurezza da parte del CAC. Tale valutazione prenderà in considerazione l’impatto di tali trasferimenti transfrontalieri relativamente alla sicurezza nazionale, l’interesse pubblico e i diritti e gli interessi legittimi di individui o organizzazioni.
Il nuovo regolamento
Con la nuova normativa viene ribadito il concetto di “dato importante” (“important data”), già previsto dalla Cyber Security Law, definito come quelle informazioni “che possono mettere in pericolo la sicurezza nazionale, il funzionamento economico, la stabilità sociale, la salute e l’incolumità pubblica una volta manomesse, danneggiate, trapelate o ottenute illegalmente o utilizzate illegalmente”, ed evidenziata la necessità di specifiche approvazioni per il trasferimento di questo tipo di dati.
Pertanto, i Critical Information Infrastructure Operators (CIIO) ovvero quelle aziende, anche internazionali, che svolgono attività di elaborazione dei dati in settori critici come l’energia, la difesa, la finanza e le telecomunicazioni, dovranno sottoporre:
- lo scopo del trasferimento dei dati;
- le misure di sicurezza adottate;
- le leggi e i regolamenti del paese di destinazione;
all’autorità competente, il CAC, che condurrà quindi una revisione sulla potenziale violazione dei dati. Il CAC è infatti l’ente statale responsabile del coordinamento delle attività di protezione della sicurezza informatica e delle relative attività di supervisione e amministrazione a livello nazionale.
Devono sottoporsi a questa revisione, anche quelle società che processano i dati di un milione o più di persone, o che dall’inizio dell’anno precedente all’introduzione delle norme hanno trasferito all’estero dati personali di almeno 100.000 persone, o trattano dati personali sensibili (come le impronte digitali) di almeno 10.000 persone.
Questo requisito di fatto include qualsiasi società straniera di grandi o medie dimensioni che ha bisogno di esportare i dati dei clienti cinesi in una delle proprie sedi all’estero. Le aziende avranno 6 mesi di tempo, dall’entrata in vigore del regolamento, per conformarsi e ottenere l’approvazione da parte del CAC.
Il regolamento definisce i “dati sensibili” come le informazioni che – una volta trapelate o utilizzate illecitamente – potrebbero ledere la dignità delle persone fisiche, o mettere a rischio loro stesse o i loro beni. Questi includono dati biometrici, opinioni religiose, salute e dati personali dei bambini o minori.
Prima di richiedere l’approvazione del CAC, l’azienda dovrà condurre una propria valutazione relativa alle misure di sicurezza, e il risultato di questa valutazione dovrà essere sottoposto al CAC delle singole regioni amministrative cinesi, insieme a un opportuno modulo compilato e ai relativi documenti e contratti relativi al destinatario estero.
Il CAC locale condurrà una revisione preliminare della documentazione presentata e la inoltrerà al CAC nazionale per le fasi successive (vale a dire la valutazione della sicurezza e l’emissione di una nota di approvazione).
Se la valutazione di sicurezza CAC sarà superata, l’azienda riceverà una approvazione che sarà valida per i successivi due anni.
Ci sono alcuni aspetti di cui le aziende dovranno tenere conto:
- le tempistiche: il processo di approvazione potrebbe richiedere alcuni mesi e, sebbene vi sia un periodo di adeguamento di sei mesi affinché le aziende ottengano l’approvazione, si prevede che le autorità di regolamentazione si aspettino che le organizzazioni sospendano le attività di trasferimento dei dati fino all’ottenimento dell’approvazione:
- metodologia di contrattazione attuale e futura con terze parti: anche i contratti con le terze parti dovranno essere sottoposti al CAC, pertanto, in attesa dell’approvazione, le aziende dovranno valutare l’adozione di opportune clausole contrattuali (SCCs) con i destinatari esteri;
- si noti che, fatti salvi ulteriori chiarimenti da parte del CAC, è probabile che l’approvazione sarà ottenibile per singolo titolare del trattamento, piuttosto che per set di dati esportati;
- si noti che anche l’accesso ai dati da remoto viene considerato come un trasferimento.
Dalla lettura del regolamento, emergono però alcuni punti aperti: esso infatti non fornisce un criterio oggettivo per la valutazione di “dato importante” e non vi trova spazio nemmeno una classificazione di dato importante per singoli settori industriali “critici”.
A questo si aggiunge il fatto che non è nemmeno chiara la modalità con cui le aziende riceveranno l’esito delle valutazioni, o che tipo di trasferimento si potrà, o non si potrà fare. In ultimo, il regolamento non specifica se anche i flussi di dati con Hong Kong, che insieme a Macao sono spesso considerati paesi al di fuori dei confini cinesi, saranno sottoposti al regolamento.
Interpellata su queste questioni, la Cyberspace Administration cinese ha preferito non rilasciare commenti.
Il caso Tesla e DiDi Global
In Cina, lo scenario per aziende e multinazionali ha cominciato a cambiare già l’anno scorso, quando le autorità cinesi hanno richiesto alla Tesla e a altre case automobilistiche di mantenere in Cina i dati elaborati localmente, e di non trasferirli.
La Cina aveva già limitato l’uso delle auto Tesla da parte di personale militare e società statali per i sospetti di trasferimento all’estero dei dati raccolti dal celebre produttore di auto elettriche statunitense. I dati automobilistici, infatti, oltre ai dati personali di conducenti e passeggeri, possono includere anche altri dati considerati “critici”, come ad esempio informazioni relativi a luoghi militari e governativi, o ai trasporti pubblici, magari raccolti dalle telecamere dei veicoli stessi.
Sempre lo scorso anno, la CAC, ha dato il via a una indagine sulla sicurezza informatica nei riguardi della Didi Global Inc, società cinese di trasporto privato, simile a Uber, che in Cina possiede circa 377 milioni di utenti attivi all’anno ed effettua 25 milioni di corse al giorno e che, oltre al servizio di trasporto, ha sviluppato diverse altre applicazioni che offrono servizi di consegna e anche finanziari.
Nello specifico, la CAC ha ordinato la rimozione di venticinque app di DiDi dagli store, sollevando dubbi riguardo al trasferimento non autorizzato di dati all’estero.
L’ordine arrivò a pochi giorni di distanza (era il 30 giugno 2021) dalla quotazione della società alla borsa di New York, negli Stati Uniti, e la notizia fece crollare il titolo che aveva già raccolto circa 4,4 miliardi di dollari, costringendo la società a ritirarsi dalla borsa di New York a favore di quella di Hong Kong.
Inoltre, proprio a seguito dell’indagine su Didi, le autorità di regolamentazione cinesi hanno iniziato a richiedere agli operatori di piattaforme online che trattano dati personali di oltre un milione di utenti di sottoporsi alla revisione della sicurezza informatica prima di potersi quotare all’esterno.
La spinosa questione della sovranità digitale: così l’UE può recuperare lo svantaggio
Conclusioni
Come affermato dal CAC, oltre a regolamentare le attività di esportazione dei dati, il nuovo regolamento mira a “proteggere i diritti e gli interessi delle informazioni personali e salvaguardare la sicurezza nazionale e gli interessi pubblici sociali”.
Il complesso quadro normativo cinese, infatti, non guarda unicamente ai dati intesi come “personali”, ma si occupa della tutela dei dati in senso più vasto, dove “dato” viene definito nella DLS come “informazioni in formato elettronico o in altre forme”, e ha principalmente due scopi: la sicurezza dei dati e la tutela della sovranità digitale della Cina.
Già la DSL, riguardo il trasferimento transfrontaliero, distingueva tra i Critical Information Infrastructure Operators (CIIO), e coloro che non rientrano in questa categoria. Il nuovo regolamento si preoccupa di dettagliare meglio e più specificatamente i requisiti dei CIIO ed è quindi un tassello importante che si inserisce e va a completare il quadro giuridico già presente.
Se a prima vista tale quadro giuridico appare non troppo dissimile da quello europeo, impegnato a sua volta a costruire una governance dei dati europeista ma con l’obiettivo di favorire un mercato unico digitale globale, è però anche evidente che esso introduce più di un ostacolo per gli sviluppi di scambi commerciali tra l’ Occidente e la Cina poiché, inevitabilmente, il nuovo regolamento apporterà un aumento di costi per aziende e multinazionali che dovranno uniformarsi e mettere in campo tutta una serie di attività atte a garantire la conformità, e le stesse aziende internazionali che desiderano fare affari in Cina dovranno attentamente valutare se, e in che modo, le nuove norme cinesi si applicano alle loro attività.
Per quanto riguarda i trasferimenti, alla luce del nuovo regolamento introdotto, in molti casi la soluzione sarà probabilmente quella di evitare completamente tali trasferimenti, con il rischio di minare o limitare fortemente le attività delle aziende sul territorio cinese.
