La Cina si allinea alle nuove esigenze sulla protezione dei dati personali

La Cina si allinea alle nuove esigenze sulla protezione dei dati personali

Il 10 giugno 2021 è stata approvata una versione definitiva della legge sulla protezione dei dati personali, che permetterà facilitare lo scambio di dati fra questo gigantesco paese e il resto del mondo.

La legge sulla protezione dei dati della Repubblica popolare cinese è stata approvata, da parte della specifica commissione del 13º congresso nazionale del popolo. Questa legge è stata riesaminata per ben tre volte, partire dal giugno 2020 i diventerà pienamente esecutiva dal 1 settembre 2021.

Anche se il titolo della legge fa’ riferimento alla sicurezza dei dati, gran parte del testo è dedicata al miglioramento dell’attuale regime di protezione non solo dell’economia digitale, ma anche dei dati personali, che vengono utilizzati, raccolti e trattati da soggetti cinesi.

La legge mette in evidenza quali sono le misure di sicurezza che devono essere adottate dai vari governi locali e stabilisce anche delle sanzioni, che per il panorama cinese sono assai elevate.

Anche se la legge non dà dettagliate indicazioni su come si devono proteggere i dati, vi sono alcune indicazioni particolarmente significative, che meritano di essere illustrate ai nostri lettori.

I dati personali critici possono  essere spostati da un paese ad un altro. A questo tema sono dedicati in particolare gli articoli 31 e 36, che fanno riferimento in particolare alle attività degli operatori nel campo delle infrastrutture critiche, che possono trasferire dati, anche personali, solo rispettando precise garanzie.

Il livello di criticità dei dati viene definito nell’articolo 21 e la tabella della crescente criticità viene definita dai dipartimenti e dalle regioni, che sono coinvolte in queste specifiche categorie di dati.

I titolari del trattamento che violano l’articolo 31 e trasferiscono dati critici all’estero potrebbero essere soggetti ad una sanzione compresa fra 15.000 e 150.000 $. Se la violazione è particolarmente grave, la sanzione può arrivare fino a 1,5 milioni di dollari. Inoltre le autorità possono imporre la sospensione dell’attività di trattamento e revocare l’eventuale autorizzazione operativa.

La legge impone anche di condurre un audit afferente alla sicurezza delle infrastrutture informatiche, che trattano dati personali, verificando che non solo il titolare, che invia i dati, ma anche il titolare che li riceve operi in un contesto di soddisfacente sicurezza informatica.

L’articolo 36 fa’ riferimento al fatto che il titolare del trattamento è obbligato a fornire i dati che possono essere richiesti da autorità inquirenti o giudicanti. Questa disposizione vale soltanto nei confronti delle autorità cinesi, con proibizione di fornitura di questi dati ad autorità essere, a pena dell’applicazione di sanzioni alquanto significative.

Alcuni articoli sono dedicati alla gestione quindi dei rapporti con intermediari nel trattamento di dati personali, come ad esempio avviene quando i motori social acquisiscono dati, che vengono successivamente trasmessi ad altri utenti. È fatto obbligo a tutti i titolari di accertarsi che i dati siano stati legittimamente acquisiti, verificando l’identità degli interessati al trattamento; inoltre deve essere conservato un registro di tutte le transazioni effettuate, a pena dell’applicazione, anche in questo caso, di significative sanzioni, che possono anche comprendere il sequestro di eventuali somme guadagnate da chi partecipa a queste transazioni non appropriate.

Pubblicità

Il trasferimento dei dati in altri paesi

Ormai in Cina operano numerose aziende di dimensioni sovrannazionali ed ecco perché occorre regolamentare il modo in cui i dati tali dati possono essere trasferiti ad altre filiali delle aziende cinesi, che si trovano all’estero.

Un aspetto assai significativo, che nel regolamento generale europeo non viene preso in considerazione, riguarda il fatto che alcuni interessati potrebbero avere difficoltà ad utilizzare servizi digitali, in quanto non sufficientemente abili nel acquisire un’identità digitale e usarla per accedere a servizi pubblici, come ad esempio anche i trasporti pubblici.

Questa situazione è peggiorata con la diffusione della pandemia da COVID 19 ed ecco perché questa legge impone specificamente ai titolari del trattamento di prendere in considerazione anche le particolari esigenze di questa categoria di interessati. Una possibile soluzione, ad esempio, è quella di mettere a disposizione due canali per accedere ai servizi digitali, di cui uno particolarmente adatto a persone fragili.

Di particolare interesse l’articolo 28, che afferma che i titolari possono effettuare tipologie di trattamento assai avanzate, purché tali trattamenti portino ad un promozione dello sviluppo economico e sociale ed un accrescimento del benessere della popolazione. Vale la pena di ricordare al proposito, che anche nell’ambito del trattamento di dati personali, in Europa, sono consentiti trattamenti particolari, per finalità particolari, come ad esempio ricerche scientifiche e storiche.

Il comitato europeo per la protezione dati personali sta aspettando di esaminare attentamente questa legge, per vedere se e come essa potrebbe avvicinare la Cina all’elenco dei paesi, verso i quali potrebbe essere consentito il trasferimento di dati, senza eccessive restrizioni.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.