Diritto in pilloleNews22 Settembre 2021by P&S Studio LegaleDa novembre 2021: nuova legge privacy in Cina

Nei giorni a cavallo di Ferragosto i notiziari online hanno dato molta importanza all’imminente entrata in vigore della nuova legge cinese di tutela dei dati, definita nella versione inglese come “Personal Information Protection Law of the People’s Republic of China”, destinata ad avere piena applicazione dal primo novembre 2021.

L’attenzione suscitata dalla notizia era certamente giustificata anche perché il contenuto della legge citata è, come accaduto anche in altri sistemi giuridici, assai simile al GDPR e dunque testimonia del fatto che anche la Cina sembra aggiungersi al sistema dei Paesi che a livello globale hanno adottato lo schema concettuale e le categorie giuridiche proprie del modello europeo per tutelare le informazioni e i dati personali all’interno del proprio territorio.

Anche la legge cinese, infatti, è imperniata intorno al principio della informativa agli interessati e dell’ottenimento del loro consenso come elementi essenziali su cui si fonda la legittimità della raccolta e dell’utilizzazione delle informazioni riconducibili alla categoria dei dati personali. Sono inoltre ripresi nella legge cinese anche i principi di minimizzazione dei dati e l’obbligo della loro cancellazione quando vengano meno le basi legali per la loro utilizzazione e conservazione. Sono previste infine sanzioni rilevanti nei confronti dei titolari che utilizzino senza base legale i dati personali di terzi con l’introduzione, questa non presente nel GDPR, della previsione della responsabilità personale anche in capo al soggetto direttamente responsabile del trattamento illecito che può vedersi comminata una sanzione pecuniaria rilevante che può andare da 100.000 a un milione di yuan (art.66 della legge).

L’aspetto più importante del sistema regolatorio cinese è però che la legge di Protezione dei dati personali forma sistema e deve essere coordinata con altre due leggi essenziali. La prima è, nella versione inglese pubblicata da China Law Translate, la Cybersecurity Law, in vigore fin dal primo giugno 2017; la seconda è, sempre nella versione inglese, la Data Security Law (DSL), la cui ultima revisione approvata il 10 giugno 2021 dallo Standing Commitee del Congresso nazionale della Repubblica popolare cinese, è destinata a entrare in vigore praticamente insieme alla nuova legge sulla protezione dei dati personali.

Se si vuole affrontare il tema della tutela e dei vincoli relativi all’uso dei dati, compresi i dati personali, posti in essere nella Repubblica popolare cinese non ci si può quindi limitare ad esaminare la legge sulla protezione dei dati personali che entrerà pienamente in vigore dal 1° novembre 2021, ma occorre tener presente anche le altre due leggi citate, relative rispettivamente alla Cybersecurity e alla tutela dei dati in generale, considerati sulla base di tre categorie di dati indicate dall’art. 21 della stessa Data Security Law: le tre categorie comprendono i “core data of State”, gli “important data” e i “general data”.

I “core data of State” riguardano la sicurezza nazionale, gli assi portanti dell’economia e dei mezzi di sostentamento della popolazione e quelli relativi alle maggiori attività di interesse pubblico. Le violazioni relative ai trattamenti di questi dati possono essere punite con sanzioni che arrivano a 10 milioni di RMB (circa 1 milione e mezzo di dollari), la sospensione delle attività, la revoca delle eventuali licenze concesse e in certi casi possono determinare anche responsabilità penali.

Per gli “important data”, già previsti dalla Cyber security Law in vigore fin dal 2017, si prevede che le reti di operatori adottino specifiche e adeguate misure di backup e di cifratura per la loro tutela. Inoltre, i titolari di trattamenti di “important data” devono nominare i relativi responsabili e istituire appositi dipartimenti interni per il loro trattamento. Infine devono assicurare regolari attività di risk assestements e trasmettere i relativi risultati alle autorità competenti.

Né la legge sulla Cyber sicurezza, né quella sulla Sicurezza dei dati definiscono un elenco chiuso relativamente al catalogo degli “important data” o alle misure di sicurezza che devono essere assicurate. Spetta infatti al National data security coordination mechanism, previsto dall’art. 6 della DSL, coordinare i dipartimenti interessati a formulare il catalogo di questi dati a livello nazionale. La stessa DSL, inoltre, prevede e autorizza le diverse regioni amministrative della Cina e i differenti settori industriali a definire proprie categorie di “important data”, stabilendo anche le relative misure da adottare.

Va sottolineato, infatti, che tutta la legislazione cinese in materie di sicurezza dei dati e, in particolare, di cyber security, sconta la possibilità di normazioni regionali adottate da organismi a competenza regionale anche se vincolati al rispetto di regole e misure uniformi, stabilite dai competenti dipartimenti a livello centrale, secondo quanto previsto nell’art.15 della DSL. Un modo, questo, per consentire una certa elasticità di relazioni fra livello centrale e livelli regionali pur in un quadro uniforme di sicurezza comune. Un modo che può ricordare da vicino anche alcune caratteristiche dell’Unione Europea, eternamente alle prese col problema di come armonizzare le esigenze di uniformità di regolazione proprie del Mercato Unico, col principio di competenza degli Stati, ai quali, nell’ordinamento unionale, spetta in via generale non solo l’applicazione della normativa unionale, specie quando questa è direttamente vincolante, ma anche assicurare il suo adattamento alle condizioni specifiche di ciascuno Stato, ovviamente sempre nel rispetto delle regole proprie del principio di sussidiarietà applicato al Mercato Unico.