DATA PRIVACY

PIPL e GDPR: non esattamente due facce della stessa medaglia

A partire dal primo novembre 2021 la Repubblica Popolare Cinese si è dotata di una sua normativa specifica in materia di protezione dei dati personali: il PIPL – Personal Information Protection Law of the People’s Republic of China. Facciamo il punto sul suo stato di attuazione, comparandolo con quanto previsto dal GDPR

04 Mar 2022

Andrea Reghelin

Partner P4I – Partners4Innovation – Practice Audit & Compliance

Luca Serra

Legal Consultant P4I – Partners4Innovation – Service Line International

Come è noto, anche la Repubblica Popolare Cinese ha deciso di regolamentare le attività di trattamento dei dati personali degli operatori economici che agiscono nel proprio mercato, il PIPL. Non si tratta di un intervento isolato, ma dell’ultimo tassello di un corpus legislativo finalizzato a regolamentare il settore digitale.

Cos’è il PIPL e perché è stato emanato

La norma va interpretata e coordinata con quanto disposto dalla Legge sulla sicurezza informatica della Repubblica popolare cinese (China’s Cybersecurity Law) efficace dal 1° giugno 2017, e La Legge sulla sicurezza dei dati (Data Security Law), efficace dal 1° settembre 2021.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

I tre provvedimenti sono tra loro complementari, e non si può dare concreta applicazione al PIPL senza considerare le definizioni ed il perimetro operativo delle altre due normative.

In sintesi, l’obbiettivo delle Autorità cinesi è stato quello di disciplinare nel dettaglio l’utilizzo dei dati personali dei propri cittadini a fronte dei recenti scandali che hanno coinvolto alcuni dei colossi del web di bandiera cinese, e soprattutto, delimitare le attività di trasferimento dei dati personali al di fuori del territorio delle Repubblica Popolare Cinese.

Il contesto cinese

Non costituisce una novità l’interesse delle Autorità cinesi per l’economia digitale e lo sviluppo di questo settore. Come logica conseguenza di ciò, anche il Legislatore cinese ha deciso di dedicarsi con una legge ad hoc alle attività di trattamento dei dati personali.

Come dichiarato lo scorso maggio dal Presidente Xi Jinping durante la Conferenza nazionale dei rappresentanti dell’Associazione cinese della scienza e tecnologia: «La scienza e la tecnologia hanno sempre assunto una posizione molto importante e strategica nella causa del Partito e del popolo, e hanno giocato un ruolo molto importante e strategico». Evidenziando i risultati raggiunti negli ultimi anni nel campo dello sviluppo tecnologico, Xi Jinping ha ribadito la necessità che la Cina raggiunga la propria indipendenza anche in ambito scientifico e tecnologico.

Xi Jinping

Presidente della Repubblica Popolare Cinese

Dunque, il nuovo intervento legislativo deve essere interpretato anche alla luce della rinnovata volontà del Governo cinese di rendersi indipendente dall’Occidente, anche dal punto di vista delle nuove tecnologie. Settore quest’ultimo, dove le attività di trattamento dei dati personali diventano di primaria importanza, specialmente se effettuate su milioni di cittadini.

GDPR e PIPL a confronto

Si tratta di due norme similari che hanno come punto cardine la tutela della persona fisica i cui dati sono oggetto delle attività di trattamento. Analogamente, hanno un’applicazione extra territoriale essendo destinate ad essere rispettate, indipendentemente dal luogo dove siano effettivamente svolte le attività di trattamento, a tutti i cittadini dell’UE, e parallelamente della Repubblica Popolare Cinese.

Continuando nella comparazione, i punti di contatto sono molteplici, ed entrambi i testi legislativi contengono un ampio catalogo di diritti posti a tutela degli interessati, e l’obbligo della stesura di un’informativa specifica connessa alle attività di trattamento.

Vanno segnalate, tuttavia, delle differenze semantiche rispetto al GDPR, che in molti ambiti non permettono una perfetta sovrapposizione dei due testi. Ad esempio, la definizione di Responsabile del trattamento (entrusted party) data dal PIPL è ben più ampia di quella fornita dal GDPR, ricomprendendo qualsiasi soggetto incaricato di una specifica attività di trattamento.

Ulteriore peculiarità della normativa cinese è l’estensione della categoria dei dai particolari anche ai dati finanziari (art. 28 PIPL) che il GDPR classifica come dati comuni.

Come anticipato, il PIPL presta molta attenzione all’ambito dei trasferimenti di dati personali al di furi del perimetro della Repubblica popolare cinese. Il Capitolo III (artt. 38-43) disciplina analiticamente quali siano gli adempimenti necessari per le organizzazioni che intendano svolgere tali attività.

Rispetto al GDPR, le prescrizioni sono più stringenti, e richiedono alternativamente la necessità di un security assessment da parte della Cyberspace Administration of China (CAC – Agenzia di controllo governativa per il Cyberspazio), l’ottenimento di un certificato riguardante il rispetto della normativa sulla protezione dei dati personali secondo gli standard approvati dalla CAC, o la sottoscrizione di un contratto standard secondo il modello dettato sempre dalla CAC.

Precisiamo che, ad oggi, le norme attuative delle precedenti disposizioni non sono ancora state emanate e, pertanto, non esistono modelli operativi e attutivi di security assessment, certificazioni, e contratti standard.

Inoltre, l’art. 40 del PIPL prescrive nel caso di trasferimenti effettuati da Critical Information Infrastructure Operators la necessità di una specifica valutazione sulla sicurezza da parte della CAC per procedere con il trasferimento.

Tali soggetti vengono definiti dall’art. 31 della China’s Cybersecurity Law come servizi pubblici di comunicazione e informazione, energia, traffico, idrici, finanziari, pubblici, di governance elettronica e quelle infrastrutture informatiche critiche che, se distrutte, non essendo operative, o perdendo i propri dati, potrebbero mettere in serio pericolo la sicurezza nazionale, il benessere nazionale e il sostentamento della popolazione, o l’interesse pubblico.

Il paragone sorge spontaneo con la definizione data dalla Direttiva NIS (Direttiva UE n. 2016/1148) di Operatore di Servizi Essenziali (OSE) come il soggetto pubblico o privato che fornisca un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali, la cui fornitura dipenda dalla rete e dai sistemi informativi che in caso di incidente determinerebbe effetti negativi rilevanti sulla fornitura di tale servizio.

I precedenti obblighi avranno di sicuro un forte impatto sui vari cloud provider occidentali che operano nel mercato cinese, che tuttora sono in attesa delle norme attuative che disciplinino i controlli della CAC.

Evidenziamo, inoltre, che alla luce di quanto specificato dalle regole della CAC in materia di misure di sicurezza applicabili al trasferimento dei dati personali (in fase di pubblica consultazione sino al 28 novembre 2021 e non ancora efficaci) una specifica valutazione sulla sicurezza da parte dell’Agenzia sarà sempre necessaria nel caso di operatori che gestiscono le informazioni personali di oltre 1 milione di persone e di trasferimenti di dati personali di più di 100.000 persone, o dei dati personali sensibili di più di 10.000 persone.

Infine, anche il PIPL ha un proprio apparato sanzionatorio con specifiche sanzioni pecuniarie in caso di violazione dei propri principi, il cui ammontare massimo può raggiungere i 50 milioni di Yuan, oppure il 5% del giro d’affari annuale. Va precisato, tuttavia, che a differenza del GDPR saranno perseguibili anche le persone fisiche che occupino posizioni apicali all’interno dell’organizzazione che si sia resa responsabile della violazione (sino ad un massimo di un milione di Yuan).

I principali adempimenti in capo alle Società

Le Società che hanno già adottato ed implementato un proprio modello organizzativo in materia di protezione dei dati personali, allineato con il GDPR, non si troveranno di sicuro impreparate agli obblighi e ai principi sanciti dal PIPL.

Logicamente, dovranno essere posti in essere i dovuti adattamenti derivanti dal differente contesto normativo.

Necessariamente le persone fisiche coinvolte nella attività di trattamento dovranno essere informate di tali attività con una specifica informatiche che rispecchi i contenuti dell’art. 17 del PIPL.

Nel caso di Società multinazionali che operino in Cina sarà sempre necessaria la presenza di un proprio rappresentante stabilito nel territorio della Repubblica Popolare, come punto di contatto per le attività di trattamento dei dati personali (art. 53 del PIPL).

A differenza di quanto dettato dall’art. 30 GDPR, non vi è l’obbligo specifico di tenuta di un Registro delle attività di trattamento per Titolari e Responsabili.

Parallelamente all’art. 32 del GDPR (Sicurezza del trattamento), l’art. 51 del PIL descrive nel dettaglio quali siano gli adempimenti necessari in materia di sicurezza delle attività di trattamento. È stato imposto l’obbligo di:

  • formulare un sistema di gestione interna e procedure operative;
  • gestione delle informazioni personali in base ad un sistema di classificazione;
  • adottare misure di sicurezza tecnica correlate alle caratteristiche dei trattamenti effettuati, come la crittografia e la de-identificazione;
  • determinare in modo oculato gli organi competenti alle attività di trattamento e procedere alla formazione del personale su base periodica;
  • formulare e organizzare l’attuazione di piani di emergenza per incidenti di sicurezza.

Le Aziende già abituate agli obblighi imposti del GDPR, con i dovuti accorgimenti, avranno già un punto di partenza metodologico per adeguarsi a quanto dettato dal PIPL. Tuttavia, necessariamente dovranno essere adottate delle misure ad hoc nel caso in cui gli adempimenti non siano del tutto sovrapponibili.

In attesa provvedimenti attuativi, tuttora in fase di approvazione da parte della CAC, suggeriamo di tenere monitorato l’evolversi dell’assetto normativo, ed intervenire non appena si venga a delineare un quadro completo.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza
@RIPRODUZIONE RISERVATA
Andrea Reghelin
Partner P4I – Partners4Innovation – Practice Audit & Compliance

“Si occupa dal 2004 di consulenza direzionale in progetti di compliance, con particolare riferimento agli ambiti dell’innovazione digitale (es. data protection, dematerializzazione, sicurezza delle informazioni), della criminalità d’impresa e della sostenibilità, trattando aspetti normativi, organizzativi e tecnologici. Attualmente è responsabile della practice Audit&Compliance di Partners4Innovation, società di advisory del gruppo Digital360".

Luca Serra
Legal Consultant P4I – Partners4Innovation – Service Line International

Articolo 1 di 4