Personal Information Protection Law (PIPL): la Cina approva la prima legge in materia di data protection
di Sara Bonomi
Il 20 agosto 2021, la Cina ha approvato la Personal Information Protection Law (di seguito, “PIPL”), vale a dire la prima legge che regola e delinea la struttura portante del regime cinese in materia di data protection. La PIPL entrerà in vigore fra meno di due mesi, ossia il 1° novembre 2021[1], ed è composta da 74 articoli, suddivisi in 8 capitoli.
Insieme alla Data Security Law e alla Cybersecurity Law, la promulgazione della PIPL permette alla Cina di dotarsi di un sistema legislativo completo in relazione alla protezione dei dati personali e della sicurezza informatica.
La PIPL produrrà, certamente, un grande impatto sull’attività delle Imprese cinesi ed internazionali operanti nel mercato cinese, similmente alla situazione verificatasi in seguito all’entrata in vigore del GDPR nel 2018.
Il presente articolo si pone come obiettivo di illustrare i punti salienti di questa nuova legge, nonostante appaia evidente la necessità di attendere ulteriori chiarimenti e linee guida da parte delle Autorità cinesi.
Ambito territoriale di applicazione
Ai sensi dell’art. 3, la PIPL si applica alle persone fisiche e giuridiche che trattano informazioni personali all’interno della Cina. Inoltre, e allo stesso modo del GDPR, la PIPL ha una portata extraterritoriale, in quanto ugualmente applicabile ad organizzazioni ed individui che sono situati al di fuori della Cina e che trattano informazioni personali di soggetti cinesi per una delle seguenti finalità:
- Fornitura di prodotti o servizi a persone fisiche all’interno della Cina;
- Analisi o valutazione del comportamento di persone fisiche all’interno della Cina;
- Circostanze ulteriori previste dalla legge o da regolamenti amministrativi.
Di conseguenza, la nuova legge cinese in materia di data protection (e, in particolar modo, le obbligazioni ivi contenute) non sarà solamente applicabile alle imprese cinesi, ma anche alle società internazionali che trattano i dati personali di cittadini cinesi.
Definizioni
In merito alla definizione di informazioni personali (di seguito, “PI”), si riscontra una netta somiglianza con il linguaggio utilizzato dal GDPR, in quanto tali informazioni sono definite come ogni tipo di informazione, registrate o meno a mezzo elettronico, riferite a persone fisiche identificate o identificabili, fatta eccezione per le informazioni anonime a cui la PIPL non si applica. Lo stesso dicasi per la definizione di trattamento di PI, inteso come “raccolta, conservazione, uso, diffusione, fornitura, divulgazione, cancellazione, ecc” di informazioni personali.
L’art. 28 definisce le informazioni sensibili come PI che, qualora trapelate o usate illegalmente, potrebbero facilmente causare un grave danno di natura economica o patrimoniale oltre che nuocere alla dignità delle persone fisiche. Questo concetto raggruppa al suo interno i dati biometrici, le convinzioni religiose, la designazione di uno status speciale, dati sanitari, dati finanziari, dati relativi alla localizzazione dell’individuo, ecc., nonché le PI di minori di 14 anni.
Il titolare del trattamento, ossia la persona fisica o giuridica che determina autonomamente le finalità e le modalità del trattamento di PI, è denominato “personal information handler” (di seguito, “PIH”). Analogamente a quanto previsto dal GDPR, la PIPL individua il ruolo di responsabile del trattamento (“entrusted party”, ai sensi dell’art. 21), senza però darne una definizione. Lo stesso dicasi per i contitolari del trattamento, brevemente individuati come due o più PIH che determinano, in maniera congiunta, le finalità e le modalità del suddetto trattamento. In entrambi i casi, la PIPL impone l’obbligo di concludere un contratto che determini le obbligazioni ed i diritti di ciascuna parte.
Basi giuridiche del trattamento
Ai sensi dell’art. 13, il trattamento di PI è lecito solamente se ricorre una delle seguenti basi giuridiche:
- Consenso dell’individuo;
- Necessità di concludere od adempiere ad un contratto, di cui l’individuo è parte o per esigenze di gestione delle risorse umane, in linea con le disposizioni del diritto del lavoro cinese;
- Necessità di rispettare obblighi legali o regolamentari;
- Necessità di reagire ad emergenze di salute pubblica o al fine di proteggere la vita e la salute di un individuo;
- Trattamento di PI nell’ambito di diffusione di notizie, supervisione dell’opinione pubblica ed altre attività simili svolte nell’interesse pubblico;
- Trattamento di PI già precedentemente diffuse dall’individuo stesso oppure già precedentemente e legalmente divulgate;
- Circostanze ulteriori previste da leggi e regolamenti amministrativi.
In tal senso, è interessante notare come la PIPL non annoveri nella lista il concetto di interesse legittimo, delineato dall’art. 6 del GDPR. Tuttavia, la base posta al punto n.7 potrebbe permettere alle Autorità cinesi di individuare, di volta in volta e tramite appositi atti legislativi o amministrativi, ulteriori basi giuridiche dalla portata residuale. Come per altri principi e concetti introdotti dalla PIPL, sarà necessario attendere i chiarimenti e le raccomandazioni ulteriori che saranno pubblicate nel tempo.
Consenso
Come enunciato, una delle basi giuridiche individuate è costituita dal consenso fornito da un individuo interessato dal trattamento di PI.
La legge prescrive una serie di elementi, che devono sussistere, al fine di poter qualificare come legittimo il consenso ottenuto. Innanzitutto, il consenso deve essere informato e deve essere fornito in maniera volontaria ed esplicita. Di conseguenza, qualora le modalità del trattamento dovessero mutare nel tempo e le informazioni inizialmente fornite non si dimostrassero più coerenti, il PIH sarà obbligato ad ottenere un nuovo consenso.
L’art. 17 prescrive l’elenco di informazioni che devono essere comunicate all’individuo soggetto al trattamento di PI, qui di seguito riportate:
- Identificazione del PIH, indicandone nome e contatti;
- La finalità e le modalità del trattamento;
- Le PI oggetto del trattamento e la relativa durata di conservazione dei dati;
- Le modalità di esercizio dei diritti riconosciuti agli individui;
- Ulteriori disposizioni legislative o amministrative rilevanti e applicabili al caso di specie.
La PIPL riconosce, inoltre, la possibilità per l’individuo di revocare il consenso fornito qualora il trattamento si fondi su tale base giuridica. In questa evenienza, le modalità di revoca del consenso devono essere semplici e chiare. Qualora invece un individuo rifiutasse di prestare il proprio consenso, il PIH non potrà rifiutare di fornire i relativi prodotti e servizi, fatto salvo il caso in cui l’accesso o l’utilizzo delle PI siano necessarie al fine di ottenere tali prodotti e godere di quei servizi. La disposizione, contenuta nell’art. 16, sembrerebbe volta ad impedire le pratiche di alcuni providers di app, di piattaforme od altre soluzioni tecnologiche, i quali vincolano l’utilizzo dei loro servizi all’ottenimento di un consenso più o meno ampio.
Consenso separato
In alcuni casi specifici, la PIPL impone l’obbligo di richiedere un ulteriore consenso, da ottenere in modo separato rispetto a quello più generico menzionato nel paragrafo precendente.
Tale consenso è richiesto nei seguenti casi:
- Condivisione di dati con un terzo (art. 23);
- Trattamento di informazioni sensibili (art. 29);
- Trasferimento di PI al di fuori della Cina (art. 39);
- Trattamento di dati biometrici (art. 26);
- Nei casi ulteriori previsti da una legge o un regolamento (art. 14).
L’atto legislativo non contiene ulteriori dettagli in merito a questo consenso “separato”; a tal fine, sarà necessario attendere raccomandazioni aggiuntive da parte delle Autorità cinesi.
Infine, indipendentemente dalla tipologia di base giuridica scelta, i PIH non potranno trasferire alcuna PI ad Autorità pubbliche o giudiziarie straniere, senza che la richiesta non sia prima stata valutata ed approvata delle Autorità cinesi.
Trasferimenti internazionali di dati
Il capitolo III della PIPL ha per oggetto specifico il tema dei trasferimenti internazionali di PI.
Innanzitutto, ai PIH che intendano trasferire PI oltre i confini cinesi, è richiesto di soddisfare une delle seguenti condizioni:
- Superare con successo una valutazione di sicurezza informatica, che sarà effettuata dalla CAC, ossia la Cyberspace Administration of China;
- Ottenere una certificazione in materia di sicurezza informatica, rilasciata dalla CAC;
- Concludere un contratto con la parte ricevente straniera, utilizzando il modello contrattuale proposto sempre dalla CAC. A tal senso, si precisa che il suddetto modello non è ancora stato pubblicato;
- Rispetto di ulteriori condizioni previste da leggi o regolamenti amministrativi.
Nell’ambito di tali trasferimenti, è necessario ottenere il consenso separato degli individui interessati da tali operazioni ed informarli in merito all’identità della persona fisica o giuridica straniera che riceverà i dati, alle finalità e modalità del trasferimento, alle tipologie di PI che saranno trasmesse e alla procedura da seguire per esercitare i propri diritti.
Ai sensi dell’art. 40, i “Critical Information Infrastructure Operators” (di seguito, “CIIO”) o i PIH che debbano trasferire un’elevata quantità di dati, secondo gli standard definiti dalla CAC, saranno obbligati a sottostare alla valutazione di sicurezza sopra menzionata. La PIPL non contiene definizione di CIIO; tale concetto è, invece, fissato in modo piuttosto generico dalla Cybersecurity Law (entrata in vigore nel 2017), che li identifica in quanto infrastrutture che, in caso di incidente informatico, potrebbere mettere a serio rischio la sicurezza nazionale, la salute o gli interessi pubblici. Inoltre, i Security and Protection Regulations on the Critical Information Infrastructure precisano che tale sarebbe, ad esempio, il caso di un CIIO attivo in un settore strategico, come ad esempio quello energetico o quello finanziario.
Diritti degli individui
Gli individui le cui informazioni personali sono oggetto di trattamento, hanno il diritto d’essere informati in merito a tale attività oltre che di decidere in merito ai propri dati, inclusa la possibilità di limitare o rifiutare che essi siano trattati. Inoltre, la PIPL prevede espressamente il diritto di richiedere ulteriori chiarimenti e spiegazioni in merito al trattamento (art. 48).
I soggetti coinvolti hanno altresì il diritto di accedere alle proprie PI ed ottenerne una copia, oltre che richiedere che i propri dati, qualora non corretti od incompleti siano modificati; in tal caso, i PIH sono tenuti a rispondere in maniera tempestiva alle richieste ma non è loro imposta una scadenza precisa da rispettare. Si nota, dunque, un’evidente differenza con il GDPR, che invece la stabilisce.
È possibile, inoltre, richiedere l’eliminazione delle proprie PI secondo le disposizioni dell’art. 47, presentare un reclamo alla CAC oppure ottenere che le proprie informazioni siano trasferite ad un altro PIH, come avviene per il diritto alla portabilità dei dati previsto dal GDPR.
È interessante notare come la PIPL preveda che il familiare di una persona deceduta, le cui PI fossero oggetto di trattamento, possa esercitare i diritti sopracitati nel legittimo interesse del parente deceduto o nel proprio.
Infine, nell’ambito di processi decisionali automatizzati, le persone devono poter disporre di un’alternativa ad essi oppure poter rifiutare agevolmente tale meccanismo.
In generale, la PIPL prescrive che l’esercizio di tali diritti sia agevole e che, qualora i PIH non possano dare esecuzione alle richieste ricevute, dovranno giustificarne il rifiuto.
Personal Information Protection Officer (PIPO)
Anche la PIPL prevede la figura di un responsabile della protezione dei dati, ossia il PIPO.
Tale ruolo è previsto in due casi specifici:
- nel caso di società che trattino una quantità di informazioni personali stabilita dalla CAC;
- nel caso di un’organizzazione, la cui sede si trovi oltre i confini della Cina, che tratti PI di persone fisiche cinesi.
In linea con quanto previsto dal GDPR, il PIPO è responsabile dell’implementazione della normativa sulla privacy all’interno dell’organizzazione e della relativa supervisione e costituisce il punto di contatto con le Autorità pubbliche, alle quali dovranno essere notificati i dati identificativi del PIPO.
Violazione di dati personali
Nel caso in cui rischi di prodursi o si sia prodotta una violazione di dati personali, il PIH è obbligato a notificare tale situazione alle Autorità competenti ed, eventualmente, alle persone fisiche interessate dall’evento. A differenza del GDPR, la PIPL non prevede un termine per tale notifica. Il contenuto dettagliato di essa è enunciato all’art. 57.
Sanzioni
Nel caso in cui una persona fisica o giuridica violi le disposizioni della PIPL, le Autorità competenti possono stabilire una sanzione amministrativa il cui ammontare può raggiungere il tetto massimo di 50 milioni di RMB oppure il 5% del giro d’affari annuale, senza precisare se si tratti di volume d’affari realizzato in Cina o a livello mondiale. Le autorità possono, altresì, pronunciare una sanzione che preveda la sospensione o la cessazione delle attività in Cina o del ritiro delle licenze commerciali concesse in precedenza.
Il rischio delle sanzioni si estende anche alle persone fisiche che occupano posizioni di responsabilità manageriale all’interno dell’organizzazione che si è resa colpevole di una violazione; in tal senso, infatti, la PIPL prevede che il personale responsabile o che occupi posizioni dirigenziali, possa essere multato per un massimo di 1 milione di RMB; alla sanzione pecuniaria, si aggiunge la possibilità di pronunciare un’interdizione dal ricoprire i ruoli di direttore, manager o PIPO per un determinato lasso di tempo.
Infine, nel caso di violazione di diritti di un ampio gruppo di individui, la legge prevede che i diritti dei cittadini possano essere fatti in giudizio tramite i “People’s procurators”, dalle associazioni dei consumatori o da altre organizzazioni individuate dalla CAC.
Considerazioni finali
Come affermato in apertura del presente articolo, sicuramente la PIPL avrà un grande impatto sul mercato cinese, trattandosi della prima legge approvata in materia di protezione di dati personali e tenendo conto del sistema di obblighi e regole introdotte a carico di tutte le persone fisiche e giuridiche che trattino dati personali di soggetti all’interno del territorio cinese.
Molte delle disposizioni analizzate finora non risulteranno nuove ai colleghi che conoscono il GDPR, nonostante l’ovvia esistenza di alcune differenze tra i due testi normativi.
Il linguaggio utilizzato dal legislatore cinese appare volutamente generico in molti punti della PIPL; di conseguenza, sarà sicuramente necessario attendere ulteriori raccomandazioni o decisioni in merito, al fine di accrescere la comprensione delle disposizioni in esame.
[1] Alla data di stesura dell’articolo, il testo ufficiale della PIPL è disponibile unicamente in lingua cinese. Tra le svariate traduzioni non ufficiali in lingua inglese attualmente presenti, si è scelto di utilizzare la versione pubblicata dal Cyber Policy Center dell’Università di Stanford, disponibile al seguente link: https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-effective-nov-1-2021. Al momento, non sono disponibili traduzioni ufficiali in lingua italiana. Si intende altresì sottolineare come la PIPL utilizzi termini differenti da quelli impiegati dal GDPR. Di conseguenza, ed in modo da facilitare l’esplicazione dei concetti principali di questa legge, nel presente articolo si utilizzerà, quando possibile, la traduzione italiana dei termini originali adottati dal testo analizzato; in alternativa, qualora tale traduzione rischi di snaturare il concetto esaminato, si manterrà la terminologia inglese adottata dalla traduzione citata.
Autrice: