Lo scorso 10 giugno il Comitato Permanente del Congresso Nazionale del Popolo cinese (China’s National People’s Congress Standing Committee, NPC) ha promulgato la legge nazionale sulla sicurezza dei dati (Data Security Law, DSL), una nuova normativa in ambito data protection che entrerà in vigore a far data dal primo settembre 2021.
Quest’ultima disposizione si inserisce nel lungo percorso di riforma legislativa che il paese asiatico ha intrapreso di recente al fine di rinnovare la propria disciplina in ambito privacy, valorizzando da un lato la tutela dei dati personali dei propri cittadini e dall’altro rafforzando la propria posizione nel contesto geopolitico mondiale.
Il massimo organo legislativo cinese, con l’approvazione di questa legge, consolida ulteriormente il controllo governativo sull’attività delle Big Tech operanti all’interno del paese, imponendo la propria sovranità sul flusso di dati personali prodotti e commercializzati da queste ultime.
Data protection in Cina, nuovi obblighi e sanzioni: così evolve la legge privacy
Indice degli argomenti
Sicurezza dei dati in Cina: il quadro giuridico
La nuova Legge nazionale sulla Sicurezza dei Dati in Cina introduce una serie di sanzioni e stabilisce un nuovo quadro giuridico per la creazione di un mercato dei dati personali, ravvisandosi in questi termini la volontà politica del governo di Pechino di mettere un freno all’attività imprenditoriale delle Big Tech del paese, anche e soprattutto per porsi in un’ottica di rivalità nei confronti del progresso tecnologico e digitale portato avanti dagli Stati Uniti d’America.
Secondo quanto previsto dal disposto dell’articolo 36 della DSL, le aziende operanti sul territorio cinese che trasferiscono i cd. “dati principali” (“core data”) dello Stato verso un paese estero, in assenza di un’adeguata approvazione fornita dal governo di Pechino, dovranno affrontare una sanzione fino a 10 milioni di yuan (circa 1,56 milioni di dollari).
Con il termine “dato principale” il legislatore cinese individua qualsiasi informazione che riguarda la sicurezza nazionale ed economica del paese, il benessere dei cittadini e un interesse pubblico di natura rilevante (Articolo 21)[1]; in tale prospettiva, leggendo fra le righe della descrizione fornita dal testo di legge, è naturale ritenere che l’esecutivo cinese intenda voler limitare l’operatività commerciale delle principali imprese statali, i cui dati oggetto di trattamento commerciale saranno presumibilmente quelli soggetti alle restrizioni imposte dalla DSL.
Di concerto all’imposizione di carattere sanzionatorio, peraltro, è possibile anche che le medesime società vadano incontro alla chiusura della propria attività commerciale (attraverso la revoca permanente delle licenze o dei permessi), oltre alla legittima possibilità in capo all’organo governativo di intervenire per provvedere alla limitazione temporanea dell’iniziativa economica delle stesse imprese private.
Quest’ultima previsione normativa rappresenta uno ius novum nel panorama cinese, dal momento che una simile indicazione cogente non era stata considerata nemmeno nella prima bozza di legge presentata nel mese di aprile.
D’altro canto, la DSL interviene anche a disciplinare il trasferimento dei cd. “dati fondamentali”, per i quali tuttavia, a differenza dei “dati principali”, non fornisce una precisa definizione: il testo di legge si limita ad indicare, difatti, che verrà istituito in futuro un meccanismo di coordinamento del lavoro sulla sicurezza dei dati nazionali, legittimato a fornire una classificazione dei dati che servirà a mettere luce su tale categoria (Articoli 5 e 21).
In ogni caso, la norma puntualizza che un eventuale trasferimento di questi dati – effettuato senza la previa approvazione governativa – sarà in grado di generare una multa per un ammontare complessivo di 5 milioni di yuan, inasprendo anche in questa circostanza la portata della versione progettuale della legge (che limitava l’importo della sanzione fino ad un massimo di 1 milione di yuan).
Il prodotto finale delle variegate novità legislative introdotte dalla DLS determina, quindi, un consistente aumento degli obblighi di controllo in capo alle aziende: difatti, diviene sempre più preminente per queste ultime migliorare e rendere più efficienti le proprie pratiche di protezione dei dati.
In queste prospettiva, le nuove imposizioni legislative renderanno molto più complicati e difficili i trasferimenti di dati al di fuori dalla Cina, e di concerto si assisterà ad un vertiginoso incremento della preoccupazione delle aziende verso le potenziali conseguenze negative scaturenti da una mancata compliance normativa, si in termini organizzatici che di business.
Ferma restando la disciplina appena delineata nei riguardi dei soggetti giuridici, la DSL provvede anche a definire i contorni delle responsabilità dei singoli soggetti fisici ritenuti direttamente responsabili: difatti, ai sensi dell’articolo 45, gli individui per i quali verrà accertato il compimento di operazioni in violazione della tutela legislativa sui “dati fondamentali” – ivi comprendendosi anche eventuali trasferimenti illegali dei suddetti dati verso l’estero – potranno essere sanzionati fino ad un importo di 1 milione di yuan e la loro attività sospesa fino a nuovo giudizio.
In linea generale, pertanto, la nuova disciplina normativa rappresenta un punto di svolta nella regolamentazione legale sul trattamento dei dati personali e sul loro trasferimento all’estero, tanto per le aziende nel loro complesso considerate che per i singoli soggetti fisici ritenuti responsabili di aver integrato le sopracitate violazioni.
La portata extraterritoriale della norma
La DSL chiarisce che la Cina, in qualità di Stato sovrano, riterrà responsabili le organizzazioni straniere e gli individui che conducono attività di trattamento dati al di fuori del paese nel qual caso queste ultime siano idonee a compromettere la sicurezza nazionale, gli interessi pubblici cinesi e i diritti e interessi legali dei cittadini o organizzazioni cinesi (Articolo 2).
La natura extraterritoriale della norma mira proprio a consentire alle autorità cinesi di penalizzare quei soggetti esteri – fisici o giuridici che siano – dal commettere azioni mirate a danneggiare gli interessi della Cina, esprimendo a tal riguardo tutta la preoccupazione geopolitica di Pechino nei riguardi della progressiva e potenziale espansione portata avanti dai governi stranieri in tema di data protection.
Dal punto di vista strettamente concreto, è ragionevole ritenere che la portata della norma sia proporzionata rispetto al continuo atteggiamento tenuto dalle ONG straniere, le quali – a detta di Pechino – assembrerebbero e pubblicherebbe dati personali che la stessa Cina preferirebbe non varcassero i propri confini nazionali.
Nonostante il tenore limitativo della disposizione così definito, non è tuttavia ancora chiaro come le autorità governative cinesi attueranno questo aspetto della DSL nella pratica.
Parallelamente, la DSL autorizza anche la Cina ad applicare specifiche contromisure nei confronti di qualsiasi paese o regione che imponga investimenti proibitivi e restrittivi – ovvero che imponga misure commerciali idonee a discriminare la Cina – in riferimento al trattamento di dati o allo sviluppo di nuove tecnologie per l’utilizzo degli stessi (Articolo 26).
Le restrizioni sui trasferimenti dati transfrontalieri
Dal punto di vista della gestione dei trasferimenti transfrontalieri dei dati, idonei cioè a far confluire il flusso di informazioni transitanti o provenienti dal paese asiatico direttamente all’interno di confini territoriali stranieri, la DSL amplifica la prospettiva protezionistica della Cina.
In particolare, la normativa richiede, da un lato, ai processori di dati nel loro insieme di aderire a determinate restrizioni quando trasferiscono importanti dati all’estero e, dall’altro, impedisce ai soggetti cinesi (giuridici o fisici che siano) di consegnare informazioni ad autorità straniere senza l’approvazione delle autorità governative o in assenza di un’interfaccia ufficiale.
La presente disciplina si inserisce così nel filone regolamentare intrapreso dalla Cina con l’emanazione della Legge sulla Cybersecurity del 2016, secondo la quale gli operatori di infrastrutture informatiche critiche (CIIO) – ex ante il trasferimento dati all’estero – sono tenuti a condurre una valutazione della sicurezza degli stessi dati esportati. In questa prospettiva, ai sensi dell’articolo 31 della DSL, gli elaboratori di dati diversi da quelli trattati internamente alle CIIO dovranno necessariamente osservare le regole pertinenti che saranno formulate dal Dipartimento statale per la cybersecurity (“State Cybersecurity and Informatization Department, CAC”) e da altre autorità governative, nel momento in cui si ritrovino a dover trasferire all’estero dati importanti raccolti e generati in Cina (nonostante, come si è avuto modo di constatare, non esista ancora una chiara e precisa definizione di quello che si intende con il termine “dati importanti”).
La DSL, altresì, prevede che l’autorità cinese competente tratti le richieste di dati provenienti da autorità giudiziarie o di polizia straniere conformemente alle leggi pertinenti e ai trattati e accordi internazionali che la Cina ha concluso o a cui ha aderito, o in alternativa conformemente ai principi di uguaglianza e reciprocità.
Le sopracitate autorità, dunque, rappresentano i soggetti giuridici competenti a fornire i riscontri alle richieste proveniente dagli organi giurisdizionali stranieri; nel caso, diversamente, in cui un soggetto privato riceva richieste in ordine al conferimento di dati ad agenzie straniere, sarà necessaria l’approvazione preventiva del governo cinese (includendo, nel novero delle parti private, anche le filiali di società straniere stabilite all’interno dei confini nazionali).
Da questo punto di vista, è pacifico ritenere che la DSL complicherà la capacità delle società multinazionali in Cina di rispettare i requisiti legali stranieri e di difendersi in procedimenti legali portati avanti da entità straniere.
Da un lato, infatti, le stesse multinazionali potranno essere soggette a obblighi come quelli, ad esempio, previsti dal Clarifying Lawful Overseas Use of Data (CLOUD) Act del 2018 promulgato negli Stati Uniti al fine di produrre documenti situati all’estero (come in Cina); dall’altro, e allo stesso tempo, le medesime aziende dovranno sottostare a quanto stabilito dalla DSL che, agendo in qualità di normativa ostativa ai trasferimenti transfrontalieri in assenza di una preventiva autorizzazione governativa, obbligherà necessariamente le stesse ad omettere la compliance verso quelle imposizioni previste da una fonte normativa straniera (come, nell’esempio citato, il CLOUD Act americano).
Il blocco, oltretutto, varrebbe egualmente sia per i procedimenti penali che per quelli civili e amministrativi.
Stando così le cose, è innegabile che le filiali cinesi di società straniere saranno limitate a produrre informazioni all’estero direttamente in risposta a un’attività di applicazione della legge straniera o di un procedimento giudiziario promosso da un altro paese che non sia la Cina.
Sicurezza dei dati in Cina: riflessioni finali
Il fine ultimo di Pechino, con la pubblicazione della DSL, rimane quello di stabilire un regime di governance dei dati che sia idoneo a raggiungere un solido equilibrio tra l’esigenza governativa di controllo sul flusso dei dati, la necessità di istituire un mercato sano per questi ultimi e la sempre più crescente attenzione nei riguardi della tutela privacy dei consumatori.
Questi tre fattori rappresenteranno, perciò, il futuro della politica cinese, tenendo ben presente che il massimo comune denominatore sarà sempre individuato nella centralità attribuita alla gestione dei dati personali, riconosciuti in tal senso come un valore aggiunto per il benessere del paese (e quindi meritevole di protezione).
Elevando la sicurezza dei dati personali in cima all’agenda legislativa del governo di Pechino, è comprensibile ritenere che la data governance venga considerata alla stregua di una questione di sicurezza nazionale.
Nella coscienza del ragionamento intrapreso dalla Cina, difatti, la DSL costituisce lo scudo legale fornito dal legislatore al fine di tutelare al meglio i dati personali processati all’interno del paese, questi ultimi ritenuti talmente imprescindibili da essere considerati al pari di una risorsa strategica nazionale.
Come sottolineato, difatti, anche dal Dipartimento per la tutela del Cyberspace cinese, “senza sicurezza dei dati non vi è sicurezza nazionale” (cfr, “without data security there is no national security”).[2]
Nonostante gli indubbi risvolti geopolitici che il testo di legge così formulato si prefigge di ottenere, è tuttavia ancora poco chiaro quali regolamenti attuativi siano necessari per rendere effettive quelle che, allo stato dei fatti, rappresentano esclusivamente degli obiettivi teorici.
In tal senso, la questione è di pubblico interesse anche per la pianificazione delle stesse aziende operanti in Cina (e interessate dalla disposizione), dal momento che nemmeno queste ultime sono tuttora consce delle modalità operative attraverso le quali la norma verrà applicata nel concreto.
È auspicabile, pertanto, aspettarsi un successivo e ulteriore intervento legislativo al fine di dare attuazione a quanto stabilito, per il momento solo sulla carta, dal testo della nuova DSL di stampo cinese.
NOTE
Wilmer Cutler Pickering Hale and Dorr LLP, China Promulgates Data Security Law, 15 giugno 2021. ↑
South China Morning Post, China’s new Data Security Law promises steep punishment for unapproved overseas data transfers, 11 giugno 2021. ↑
