La globalizzazione impone adattamenti generalizzati e rapidi, soprattutto in tema privacy.
“Ogni mondo è paese” direbbe qualcuno, calzando alla perfezione la situazione in Cina.
Dopo l’avvento del nuovo regolamento per la protezione dei dati personali (GDPR) che ha disciplinato l’ambito privacy in Europa, ecco che anche la Cina si adegua all’innovazione tecnologica correndo ai ripari in termini giuridici.
Alla scoperta della PIPL (Personal Information Protection Laws)
Il Personal Information Protection Laws (PIPL) è il nuovo regolamento per la protezione dei dati personali cinese.
Questo testo legifera sia all’interno del territorio cinese (su soggetti, organizzazioni e aziende cinesi e non), sia fuori dalla Cina qualora le finalità del trattamento o il comportamento analizzato sia in Cina.
Trasferimento dei dati all’estero
Il trasferimento dei dati personali al di fuori dei confini è reso possibile solo tramite consenso, dopo una valutazione di impatto e in uno di questi 4 casi:
- Superamento di un security assessment effettuato dal dipartimento statale per il Cyberspazio (State Cyberspace Administration).
- Ottenimento di una certificazione di protezione delle informazioni personali, anche se attualmente il testo normativo non specifica come ottenere tale certificazione;
- Conclusione di un contratto con il destinatario in conformità con il contratto standard formulato dal dipartimento statale per il Cyberspazio e l’informatizzazione. Anche in questo caso al momento non risulta fornito lo standard, ma ci si aspetta che venga reso disponibile a breve e dovrebbe essere simile alle clausole contrattuali tipo (SCCs);
- Soddisfacimento di altre condizioni prescritte da leggi, regolamenti amministrativi o dal dipartimento statale per il cyberspazio e l’informatizzazione.
Inoltre la PIPL stabilisce una gerarchia ben definita: i dati conservati in Cina non devono obbligatoriamente essere forniti ad autorità giudiziarie e di polizia estere senza approvazione dell’autorità Cinese.
I principi e le base giuridiche del PIPL
Le fondamenta su cui nasce il PIPL sono trasparenza, liceità, buona fede, necessità e minimizzazione: tante caratteristiche simili al GDPR, ma come vedremo in un altro post, differenti interpretazioni.
- La trasparenza comporta la necessità di informare gli interessati sulle modalità di trattamento dei dati personali, con modalità concise, facilmente accessibili, facili da capire e in un linguaggio chiaro e semplice;
- La liceità del trattamento è esplicitata nell’articolo 5 e richiede che le informazioni personali soddisfino le condizioni previste dalla legge.
Precedentemente la normativa cinese basava la liceità del trattamento principalmente sul consenso; - Il principio di necessità è generalmente applicabile a tutte le attività di trattamento, mentre il principio di minimizzazione dei dati si applica specificamente alla raccolta di dati personali.
Esistono situazioni particolari in cui vanno applicati differenti basi giuridiche per il trattamento dei dati personali cinesi come la richiesta del consenso separato o il trattamento di dati di minorenni. Ecco alcuni dei principali esempi di queste situazioni:
- La conclusione di un contratto con interessati;
- L’adempimento di obblighi stabiliti dalla legge;
- La risposta a un’emergenza sanitaria pubblica oppure l’applicazione di attività emergenziali per proteggere la vita o tutelare la salute;
- In occasione di cronaca di pubblico interesse;
- Il trattamento di informazioni rese volontariamente pubbliche dai diretti interessati;
