Secondo i dati Eurostat, il periodo caratterizzato dalla Covid-19 ha reso la Cina primo partner commerciale dell’Eurozona: tale importante flusso commerciale – è noto quanto sia strategica la cosiddetta “nuova via della seta” per il rafforzamento delle connessioni tra la Cina e i paesi nell’Eurasia – implica un consistente e continuo flusso internazionale di dati personali che deve avvenire in conformità sia alla normativa europea che a quella cinese.
Il Comitato permanente del Congresso Nazionale del Popolo cinese ha approvato, in data 20 agosto 2021, la Personal Information Protection Law (“PIPL”), la nuova legge che regola il trattamento dei dati personali e che entrerà in vigore il primo novembre 2021. Tale testo normativo presenta numerosi punti di contatto con il Regolamento UE n. 679/2016 (GDPR). Si è già scritto in merito all’ambito di applicazione della PIPL (molto esteso) e dei possibili impatti per le società italiane ed europee.
Di seguito è proposta una breve comparazione tra l’approccio della normativa europea e quello della normativa cinese all’esportazione di dati personali, al fine di mettere in luce similitudini e differenze, in ottica pratica.
Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione
Indice degli argomenti
Trasferimenti di dati personali dalla Cina verso l’Europa
L’art. 38 della PIPL prevede che i Personal Information processor (“PIP”), figura assimilabile al titolare del trattamento in ottica GDPR, possano trasferire dati personali a destinatari situati al di fuori della Cina, per ragioni commerciali o motivi simili, qualora soddisfino almeno una delle seguenti condizioni:
- superamento di una valutazione di sicurezza da parte del Cyberspace Administration of China (“CAC”);
- ottenimento di una certificazione da parte di un ente terzo che attesti la conformità con le disposizioni CAC in materia di data protection;
- conclusione di un contratto con il destinatario in conformità allo standard contrattuale elaborato dal CAC che disciplini diritti ed obblighi di entrambe le parti;
- altre condizioni previste da leggi, regolamenti amministrativi del CAC.
Sempre sulla base di quanto previsto dal medesimo articolo, potranno trovare applicazione anche eventuali trattati o accordi internazionali raggiunti nel prossimo futuro dalla Repubblica Popolare Cinese in tema di trasferimento di dati personali al di fuori dei confini domestici, sempre nel rispetto degli standard di protezione dei dati previsti dalla PIPL.
All’atto del trasferimento dei dati, l’esportatore, i.e. la società cinese, deve comunicare agli interessati i cui dati personali sono oggetto di trasferimento una serie di informazioni, quali:
- nome e dati di contatto del destinatario dei dati;
- le finalità e i mezzi del trattamento;
- le tipologie di dati personali oggetto di trattamento;
- le procedure previste per l’esercizio dei diritti degli interessati.
L’esportatore deve inoltre raccogliere il consenso dell’interessato (lo precisa l’art. 39 della PIPL): questo sembra essere quindi un ulteriore requisito oltre a quelli sopra indicati previsti dall’art. 38 (a meno che le autorità cinesi non offrano in futuro indicazioni diverse in proposito).
Si può subito mettere in luce la differenza sostanziale con la normativa europea da questo punto di vista: il consenso dell’interessato al trasferimento è solo un’ipotesi residuale per legittimarlo, nel caso in cui le altre ipotesi previste prioritariamente dal GDPR non siano percorribili.
A titolo esemplificativo, si pensi ad una società cinese del settore e-commerce che trasferisce i dati dei propri clienti e dipendenti cinesi alla controllante i cui Headquarters sono situati in Italia; a seguito dell’entrata in vigore della PIPL, la società cinese dovrà non solo rispettare una delle stringenti condizioni per il trasferimento internazionale di dati previste all’art. 38, quali a titolo esemplificativo una valutazione di sicurezza da parte del CAC, o, quanto meno, la conclusione di un accordo con la controllante europea in conformità agli standard contrattuali nazionali cinesi elaborati dal CAC (assimilabili, come strumento, alle Clausole Contrattuali Standard approvate dalla Commissione europea), ma dovrà anche comunicare agli interessati tutte le informazioni descritte sopra e raccogliere il consenso al trasferimento da parte dei soggetti i cui dati siano trasferiti.
Ai sensi dell’art. 40 della PIPL, ulteriore specificità riguarda alcune categorie predeterminate di player del mercato, ossia gli operatori di infrastrutture informatiche critiche (es. società di telecomunicazioni), nonché i soggetti che trattano “grandi numeri” di dati personali (le soglie dimensionali sono stabilite dal CAC). I suddetti soggetti, per poter esportare i dati, dovranno superare una valutazione di sicurezza da parte del CAC, in difetto della quale i dati dovranno rimanere in Cina.
A tal proposito, ove nell’esempio fatto in precedenza la società cinese del settore e-commerce trattasse un’ingente quantitativo di dati personali (i.e. concetto europeo di “larga scala”), questa potrebbe essere soggetta alla detta valutazione di sicurezza da parte dell’Autorità, che potrebbe eventualmente limitare la circolazione dei dati infragruppo.
La PIPL specifica anche, all’art. 42, che qualunque società non cinese che tratti dati personali con modalità dannose per i diritti e gli interessi dei cittadini della Repubblica Popolare Cinese, o arrecando pericolo alla sicurezza nazionale o agli interessi pubblici, potrà essere inserita dalla CAC in una “black-list” di carattere pubblico, che prevede limitazioni e divieti al trattamento delle informazioni personali.
Infine, ai sensi dell’art. 43 della PIPL, se un paese adotta misure discriminatorie in materia di protezione dei dati personali nei confronti della Cina, potranno essere valutate misure reciproche.
Trasferimenti di dati personali dall’Europa verso la Cina
Sulla base di quanto previsto dal GDPR, i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (“SEE”) (ovvero i Paesi dell’UE oltre a Norvegia, Liechtenstein e Islanda) sono consentiti a condizione, innanzitutto, che l’adeguatezza del Paese terzo sia riconosciuta tramite una decisione di adeguatezza della Commissione europea. Ad oggi, tra i Paesi che hanno ricevuto tale decisione vi sono anche, tra altri, la Svizzera, il Canada, Israele, l’Argentina e il Giappone. È in fase di approvazione anche la decisione di adeguatezza riguardante la Corea del Sud.
In assenza di tale condizione di legittimità, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano le garanzie adeguate elencate all’art. 46 del GDPR e che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Al riguardo, le principali garanzie adeguate previste per legge sono:
- le norme vincolanti d’impresa (le BCR);
- le clausole tipo (le Standard Contractual Clauses);
- i codici di condotta;
- i meccanismi di certificazione.
In assenza di ogni altro presupposto, è poi possibile trasferire i dati personali extra-SEE in base delle deroghe previste dall’art. 49 del GDPR (tra cui anche il consenso dell’interessato).
Un notevole cambiamento a livello globale in tema di trasferimenti di dati è stato determinato dalla Decisione della Corte di Giustizia dell’Unione Europea (“CGUE”) del 16 luglio 2020 nel caso C-311/18, nota anche come “Schrems II”, che ha invalidato il Privacy Shield, l’accordo che regolava i trasferimenti di dati UE-USA. La medesima sentenza ha poi confermato la validità delle Standard Contractual Clauses (“SCCs”), quale strumento di trasferimento adeguato, ma a determinate condizioni.
La CGUE, pur riconoscendo la validità dell’istituto e l’ammissibilità dello stesso come condizione legittimante il trasferimento al di fuori del territorio europeo, ha affermato che le organizzazioni devono verificare, caso per caso, se la legge del Paese destinatario dei dati assicuri un livello di protezione equivalente a quello richiesto dal GDPR; dunque, laddove il livello di tutela non sia equivalente, rispetto a quello garantito nell’UE, la sottoscrizione delle clausole contrattuali standard non potrà ritenersi garanzia idonea a consentire un trasferimento sicuro dei dati personali. Le organizzazioni, pertanto, sono chiamate a fornire ulteriori garanzie o a sospendere i trasferimenti.
Emerge quindi la necessità di procedere a valutazioni specifiche riguardo a ogni trasferimento, con l’obiettivo di garantire una protezione adeguata per i diritti e le libertà degli interessati.
Lo European Data Protection Board (“EDPB”) mediante la pubblicazione di FAQ e Recommendations, ha chiarito che la valutazione dell’adeguatezza delle SCCs dipende dall’analisi specifica condotta dall’esportatore di dati (con la collaborazione dell’importatore) in merito alle circostanze del caso specifico e alle misure supplementari, oltre a quelle previste nelle SCC, eventualmente attuabili.
Una situazione assai comune nella prassi è quella di una società italiana che si avvale di un fornitore stabilito negli USA il quale, nell’ambito dei propri servizi, tratta dati per conto del titolare italiano (dovendo quindi peraltro essere nominato responsabile del trattamento).
Tale flusso di dati verso gli Stati Uniti andrebbe gestito tramite una valutazione d’impatto (transfer impact assessment – “TIA”) condotta dalla società italiana, esportatrice, con il supporto della società americana, importatrice, al fine di valutare, alla luce anche di tutte le circostanze del trasferimento e dei possibili rischi collegati all’eventuale applicazioni di leggi americane sulla sorveglianza, le opportune garanzie per assicurare un livello di protezione adeguato, valutando l’eventuale adozione di misure supplementari (tecniche, organizzative, legali), come raccomandato dall’EDPB nella sua Raccomandazione 1/2020.
Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità
Conclusioni
L’approvazione della legge cinese in materia di protezione dei dati personali porta con sé una attenzione al dato personale, in entrata e in uscita dalla Cina, che non ha precedenti.
Uno dei motivi per cui la Cina si è dotata di un set di regole che ricalcano, in larga parte, l’impianto europeo potrebbe essere l’aspirazione di ottenere, in un prossimo futuro, una decisione di adeguatezza da parte della Commissione europea, che consentirebbe di agevolare gli scambi commerciali e i relativi flussi di dati, almeno nella direzione da Occidente verso Oriente.
Allo stato però, in assenza di tale decisione, per i trasferimenti di dati dall’UE verso la Cina occorre porre in essere le misure di cui si è detto, che implicano non solo l’adozione, ad esempio, di SCC ma anche, a seguito della sentenza Schrems II, l’effettuazione di attente valutazioni d’impatto e la messa in atto di misure supplementari affinché il trasferimento soddisfi gli standard europei.
I flussi dalla Cina verso l’UE, invece, sembrano essere soggetti non solo a significative valutazioni da parte delle autorità locali, obbligatorie in alcuni casi, ma anche a rigidi obblighi nei confronti degli interessati in termini di informativa e di raccolta del consenso.
Le società europee che hanno in essere (o che intendono avviare) relazioni commerciali con la Cina e intendono procedere con eventuali trasferimenti dati, devono sin d’ora riservare la giusta attenzione alle nuove norme cinesi e a quelle europee in modo da approntare le necessarie misure – legali, organizzative e tecniche – e proseguire (o iniziare) i rapporti di business con i clienti, i partner o le società del gruppo stabilite in Cina in conformità al complesso quadro normativo applicabile anche al tema dei trasferimenti cross border di dati personali.
