Di seguito condividiamo l’articolo di Carlo Impalà, Partner dello studio Morri Rossetti e Responsabile del Dipartimento TMT e Data Protection e di Jun Jie Yang, Associate relativo alla nuova normativa cinese in fatto di privacy (PIPL) e la problematica che stanno incontrando le aziende europee con filiali in Cina nella gestione dei dati dei consumatori cinesi e la loro esportazione. Buona lettura!
Trasferire i dati personali fuori dalla Cina: come fare?
Il 1° novembre 2021 è entrata in vigore in Cina la prima legge sulla protezione delle informazioni personali (“Personal Information Protection Law”, in breve “PIPL”), che unitamente alla Cybersecurity Law e alla Data Security Law, completa il quadro della protezione dei dati personali.
Una delle caratteristiche del PIPL sono le restrizioni imposte per i trasferimenti transfrontalieri di dati personali e, in particolare, i meccanismi da adottare per poter trasferire i dati al di fuori del territorio cinese.
Il più rilevante, nonché più complesso, è il superamento di un security assessment condotto dal Cyberspace Administration of China (“CAC”).
Quando
I titolari del trattamento cinesi che intendono esportare i dati fuori dalla Cina devono superare un security assessment laddove:
- intendano trasferire dati c.d. importanti (vale a dire qualsiasi informazione che, una volta trattata, danneggiata, distrutta, diffusa, ottenuta o utilizzata illecitamente può mettere in pericolo la sicurezza nazionale, il funzionamento economico, la stabilità sociale, la salute e la sicurezza pubblica);
- siano stati individuati come operatori di infrastrutture informatiche critiche (vale a dire le società, anche estere, che svolgono attività di elaborazione dei dati in settori critici quali telecomunicazioni e servizi di informazione, energia, trasporti, finanza, e-government, difesa nazionale, nonché ogni altra importante struttura di rete o sistema informativo che, in caso di distruzione, danni, perdita di funzionalità o fuga di dati, possa mettere seriamente a repentaglio la sicurezza nazionale, l’economia nazionale e i mezzi di sussistenza delle persone, o l’interesse pubblico);
- trattino dati personali relativi a più di 1 milione di interessati;
- abbiano trasferito, dal primo gennaio dell’anno precedente, o intendano trasferire dati personali comuni di più di 100 mila interessati o dati personali sensibili di più di 10 mila interessati; o
- altre circostanze previste da normative di settore.
Si tenga presente che anche l’accesso da remoto dei dati raccolti e conservati in Cina costituisce un trasferimento di dati.
Da un punto di vista pratico, tale informazione non è irrilevante poiché molto spesso le multinazionali gestiscono infrastrutture e applicazioni informatiche le quali vengono utilizzate anche dalle branch cinesi, facendo sì che i dati personali dei dipendenti e/o dei clienti vengano condivisi anche con l’HQ non avente sede in Cina.
Cosa fare?
I titolari del trattamento rientranti nelle categorie di cui sopra dovranno svolgere un self-assessment e presentare apposita domanda all’autorità locale.
Secondo la regolamentazione cinese, il self-assessment è strettamente necessario per procedere con la richiesta di svolgimento di un security assessment da parte del CAC.
Nell’effettuare l’autovalutazione, il titolare che intende esportare i dati dalla Cina deve considerare e valutare una serie di questioni cruciali, quali ad es. la necessità di trasferire i dati, il tipo e la quantità di dati che dovranno essere trasferiti, l’impatto che può avere tale tipo di attività sulla sicurezza nazionale e sull’interesse pubblico della Cina, le misure tecniche e organizzative adottate o da adottare da parte sia dell’esportatore che dell’importatore di dati per proteggere i dati da perdite o danni, l’impatto che può avere la normativa di riferimento del Paese di destinazione dei dati e i rischi per i diritti degli interessati.
Il CAC ha pubblicato delle Linee Guida per aiutare i titolari del trattamento le quali contengono altresì un template di report da redigere a seguito dell’autovalutazione. Tale template prevede che il titolare fornisca una serie di informazioni tra cui:
- una descrizione del self-assessment;
- il modello aziendale, di investimento e di business della società;
- il luogo di ubicazione del data center e l’indirizzo IP dell’esportatore di dati;
- le finalità, la categoria, il volume, la sensibilità e il relativo settore industriale dei dati da trasferire al di fuori della Cina e l’eventuale successivo trasferimento di dati;
- la descrizione delle capacità di protezione dei dati sia dell’esportatore che dell’importatore dei dati;
- la descrizione della normativa in materia di protezione dei dati del Paese estero in cui ha sede il destinatario dei dati; e
- i termini principali del contratto stipulato tra l’esportatore e l’importatore, per il trasferimento dei dati.
L’esportatore di dati è inoltre tenuto ad analizzare i rischi connessi all’eventuale trasferimento cross-border di dati, sulla base dei quali deve essere formulata una conclusione.
Alla luce di quanto sopra, sarebbe opportuno per le multinazionali mappare i dati trattati e il relativo flusso, in modo da valutare l’eventuale necessità di richiedere che venga condotto un security assessment da parte del CAC e/o in ogni caso effettuare una valutazione delle attività da svolgere in modo da conformarsi alla nuova normativa cinese.
di Carlo Impalà, Partner dello studio Morri Rossetti e Responsabile del Dipartimento TMT e Data Protection e Jun Jie Yang, Associate
