LA CINA PUBBLICA LA PRIMA BOZZA DI PERSONAL INFORMATION PROTECTION LAW

Come tale proposta di legge si assomiglia, ma si discosta allo stesso tempo, al GDPR

Relativamente alle misure di data protection, che diventano prioritarie a livello mondiale, molti Paesi hanno elaborato leggi e regolamenti sulla protezione dei dati personali. Anche la Cina ha pubblicato la propria bozza di legge sulla protezione dei dati personali (PIPL), che il 19 Novembre 2020 ha concluso il periodo di consultazione. Tuttavia, al momento non vi sono notizie ufficiali sulla data in cui la legge entrerà in vigore. La PIPL (quando sarà promulgata) sarà la prima legge completa che disciplina in maniera completa. sistematica ed organica la protezione dei dati personali in Cina. In generale, il progetto della PIPL è in conformità con quanto previsto già nel 2020 nella parte ‘Diritti di privacy e protezione delle informazioni personali’ del nuovo Codice Civile della Repubblica Popolare Cinese (“RPC”). Il progetto di una legge sui dati personali stabilisce norme specifiche in ambito civile, amministrativo e penale. È bene notare che la PIPL si presenta come una “sorella minore” del Regolamento UE 2016/679 ("GDPR"). Infatti, chi ha familiarità con il GDPR, alla prima lettura della bozza della PIPL, vi troverà qualche somiglianza poiché alcuni concetti sono stati “presi in prestito”. Di seguito analizziamo le principali novità della Personal Information Protection Law.

Ambito di applicazione

Secondo l'art. 3 del progetto della PIPL, tale normativa si applicherà alle persone fisiche e giuridiche che trattano i dati personali in Cina. Inoltre, si legge che la disciplina potrà produrre effetti anche nei confronti delle persone fisiche e giuridiche situate fuori dalla Cina che: (i) elaborano informazioni personali allo scopo di fornire prodotti o servizi a individui situati in Cina; (ii) elaborano informazioni personali allo scopo di analizzare o valutare individui che si trovano in Cina; e in alcune altre situazioni, dove richiesto dalle leggi e dai regolamenti applicabili.

Definizione di "informazioni personali" e "trattamento"

Ai sensi dell'art. 4 della bozza della PIPL ed in conformità a quanto previsto dal codice civile cinese:

- per "informazioni personali" s’intendono vari tipi di informazioni relative a qualsiasi persona fisica identificata o identificabile. Tale definizione richiama certamente il concetto di "dati personali" del GDPR;

- "trattamento" si riferisce alla raccolta, conservazione, uso, elaborazione, trasferimento, condivisione e divulgazione delle informazioni personali.

Tali definizioni potrebbero creare non poca confusione per coloro che hanno familiarità con il GDPR. Ad esempio, la definizione di "responsabile del trattamento dei dati" ai sensi dell'art. 69 della bozza della PIPL è molto diversa dal concetto di "responsabile del trattamento" ai sensi del GDPR. Secondo la bozza della PIPL, infatti, il responsabile del trattamento dei dati si riferisce a persone fisiche e giuridiche che decidono lo scopo e le modalità del trattamento.

I principi del trattamento dei dati personali

  1. Legalità, correttezza e buona fede - Ai sensi dell'art. 5 della bozza della PIPL, le modalità di trattamento devono essere legittime, eque e seguire il principio di buona fede. L’utilizzo non deve essere fraudolento e fuorviante.
  2. Limitazione delle finalità e minimizzazione dei dati - Ai sensi dell'art. 6 del progetto della PIPL, lo scopo del trattamento deve essere esplicito e specifico. Il trattamento dovrebbe essere limitato all'ambito di questo scopo, e qualsiasi trattamento che non è pertinente a tale scopo non dovrebbe essere posto in essere.
  3. Pubblicità e trasparenza - Secondo l'art. 7 della bozza della PIPL, le attività di trattamento devono essere eseguite secondo il principio di pubblicità e trasparenza. La natura del trattamento dei dati personali deve essere esplicitamente divulgata.
  4. Accuratezza - Ai sensi dell'art. 8 della Bozza PIPL, le informazioni personali devono essere accurate e aggiornate quando richiesto.
  5. Responsabilità e sicurezza - Secondo l'art. 9 della bozza della PIPL, le organizzazioni saranno ritenute responsabili delle loro attività di trattamento. Esse devono adottare tutte le misure necessarie per proteggere la sicurezza delle informazioni personali che trattano.

Basi legali del trattamento

Secondo l'art. 13 del progetto della PIPL, le possibili basi giuridiche per il trattamento dei dati personali in Cina sono le seguenti:

  1. L’individuo deve aver prestato il consenso al trattamento;
  2. Il trattamento deve considerarsi necessario per l'esecuzione di un contratto tra il responsabile del trattamento dei dati e l'individuo;
  3. Il trattamento deve considerarsi necessario per la sottoscrizione o l'esecuzione di un obbligo o di un potere;
  4. Il trattamento deve considerarsi necessario per rispondere a incidenti di salute pubblica o per proteggere l'interesse fisico e i diritti patrimoniali delle persone in situazioni urgenti;
  5. Il trattamento deve considerarsi necessario per la comunicazione di notizie o per la conduzione di una vigilanza pubblica nell'interesse pubblico (entro un ambito ragionevole);
  6. Il trattamento deve considerarsi necessario se richiesto da leggi e regolamenti applicabili.

Come è evidente, ci sono alcune notevoli somiglianze con gli standard del GDPR; invero, ai sensi degli artt. 13- 17 della bozza del PIPL, lo standard del consenso sarà il seguente:

  • Prima di ottenere il consenso, i responsabili del trattamento dei dati devono informare l'individuo sui dettagli delle attività di trattamento;
  • Il consenso deve essere libero ed esplicito;
  • Altre leggi e regolamenti possono richiedere che il consenso sia dato separatamente o per iscritto: per esempio, nel caso di dare il consenso per il trattamento dei "dati sensibili";
  • Gli individui hanno il diritto di ritirare il loro consenso in qualsiasi momento;
  • Il trattamento dei dati personali di un minore sulla base del consenso sarà legittimo se (i) il minore ha almeno 14 anni; o (ii) se il minore ha meno di 14 anni, solo se (e nella misura in cui) il consenso è dato o autorizzato dal genitore o dal tutore legale del minore;
  • Se un individuo non dà il suo consenso al trattamento, il responsabile del trattamento dei dati non può rifiutare di fornire servizi o prodotti a tale individuo, fatti salvi i casi in cui i prodotti o servizi si basano su tale trattamento.

Diritti degli individui

I diritti degli individui stabiliti dalla bozza del PIPL sono simili ai diritti degli interessati secondo il GDPR. Ed infatti gli interessati avranno il diritto di:

  • conoscere e comprendere le attività di trattamento, e decidere se prestare consenso, limitare o opporsi a tale trattamento;
  • accedere e ricevere una copia delle informazioni personali trattate dall'organizzazione, compreso il diritto di informarsi sui dettagli delle loro informazioni personali;
  • far modificare le informazioni personali inesatte o incomplete;
  • far cancellare le proprie informazioni personali;
  • chiedere all'organizzazione di spiegare la sua nota sulla privacy o la sua politica;
  • presentare un reclamo quando l'organizzazione non rispetta i requisiti delle leggi o dei regolamenti applicabili; e
  • opporsi al processo decisionale individuale automatizzato e al marketing diretto.

 

"DPO" e "Rappresentante"

Simile al concetto di DPO ai sensi del GDPR, l'art. 51 della bozza della PIPL stabilisce che, se un'organizzazione soddisfa lo standard pertinente che sarà stabilito dalle autorità amministrative di sicurezza informatica, dovrà nominare una persona per gestire la sua protezione delle informazioni personali. I dati di contatto di questa persona saranno notificati alle autorità competenti. Inoltre, ai sensi dell'art. 52 del progetto di PIPL, se un'organizzazione nel campo di applicazione della PIPL si trova al di fuori della Cina, deve nominare un ufficio o un rappresentante situato in Cina per assumere la responsabilità delle sue attività di trattamento.

Sanzioni e altre responsabilità

Secondo la bozza della PIPL, se un'organizzazione non rispetta i requisiti della PIPL, sarà responsabile di pagare una multa fino a 50 milioni RMB (circa 7,5 milioni di dollari) o il 5% del suo fatturato annuale dell'anno finanziario precedente. Oltre a questa sanzione amministrativa, la società e tutte le persone interessate possono anche essere soggette ad altre responsabilità civili e penali ai sensi del codice civile e del diritto penale della RPC. È interessante notare che ai sensi dell'art. 66 del progetto della PIPL, se una società viola i diritti di più persone con la sua violazione della PIPL, un'autorità competente o un altro organismo pertinente può intentare un'azione legale contro tale società per conto dei soggetti lesi.

Conclusioni

Mentre lo stile della bozza della PIPL è simile al GDPR, la sostanza dei due non è esattamente identica. Nondimeno, con tale normativa la Cina sta compiendo un primo importante passo verso il riconoscimento di un diritto alla protezione dei dati personali per come inteso in Europa. Pertanto, è da riconoscersi che questa è certamente un’iniziativa positiva non solo per l’ordinamento giuridico, ma anche da un punto di vista culturale. In ultimo, bisogna sicuramente riconoscere il merito agli standard introdotti dal GDPR presi quale modello di riferimento internazionale.