Audit sulla protezione delle informazioni personali in Cina: regole definitive in vigore dal 1° maggio

Posted by Written by Arendse Huld Reading Time: 13 minutes

La Cyberspace Administration cinese ha svelato le regole definitive che impongono alle aziende interessate di sottoporsi all’audit sulla protezione delle informazioni personali. Questi nuovi requisiti, che riducono la frequenza degli audit e aumentano le soglie di conformità, rappresentano un’opportunità per le imprese di consolidare il rispetto delle normative. Suggeriamo alle aziende di adeguarsi tempestivamente all’evoluzione delle leggi cinesi sulla protezione dei dati per garantire audit senza ostacoli.

Il 12 febbraio 2025, la Cyberspace Administration of China (CAC) ha pubblicato la versione finale delle misure che illustrano i requisiti aziendali per l’audit di conformità sulla protezione delle informazioni personali.

Le Misure per la gestione degli audit di conformità sulla protezione delle informazioni personali (di seguito le “Misure”), che sono state pubblicate per la prima volta in forma di bozza nel 2023, richiedono alle aziende che trattano informazioni personali in Cina di sottoporsi a un audit per garantire la conformità alle normative cinesi in materia di informazioni personali e protezione dei dati.

Secondo le misure, le aziende possono condurre l’audit attraverso un proprio dipartimento interno, appositamente creato, o affidarsi ad un’agenzia terza. In alcuni casi, le autorità di cybersicurezza possono imporre alle aziende di affidare l’esecuzione dell’audit per loro conto a un’istituzione specializzata.

I valutatori sono tenuti a stabilire se le aziende rispettano le normative cinesi sulla protezione dei dati e delle informazioni personali tra cui, tra le altre, la Legge sulla Protezione delle Informazioni Personali (PIPL) e le normative sulla gestione della sicurezza dei dati di rete.

La versione finale delle misure è stata emanata insieme alle linee guida per lo svolgimento di audit di conformità, che descrivono in dettaglio le attività di trattamento delle informazioni personali da esaminare nel corso dell’audit.

Le misure entreranno in vigore il 1° maggio 2025.

FARE AFFARI IN CINA
SCOPRI LE GUIDE APPROFONDITE AGLI INVESTIMENTI E AL BUSINESS.
Approfondisci le informazioni economiche, geografiche e normative fondamentali per gli investitori, i manager o gli espatriati per orientarsi nel panorama imprenditoriale cinese. Le nostre guide aziendali online offrono articoli esplicativi, notizie, strumenti utili e video di consulenti sul campo che contribuiscono alla conoscenza di Doing Business in China.
Inizia a leggere

Chi è tenuto a condurre un audit di conformità sulla protezione delle informazioni personali?

Supporto per le aziende
Soluzioni complete di sicurezza informatica e conformità dei dati per la tua attività in Asia ⟶

Le aziende che gestiscono i dati personali di oltre 10 milioni di persone in Cina devono effettuare un audit di conformità almeno una volta ogni due anni. Le misure non specificano con quale frequenza debbano essere condotti gli audit per le aziende che trattano volumi inferiori di dati personali.

Richiedono però alle aziende che elaborano le informazioni personali di oltre 1 milione di persone di designare una persona responsabile degli audit di conformità alla protezione delle informazioni personali.

Inoltre, le aziende che forniscono importanti servizi di piattaforme Internet importanti, con un numero elevato di utenti (piattaforme con più di 50 milioni di utenti registrati o più di 10 milioni di utenti attivi mensilmente) e modelli di business complessi, per il controllo degli audit sono tenute a costituire un’organizzazione indipendente composta principalmente da membri esterni.

In che modo le aziende possono condurre un audit di conformità sulla protezione delle informazioni personali?

Le aziende possono scegliere di condurre un audit di conformità in modo indipendente. In tali casi, devono creare un’unità interna o affidarsi ad un’organizzazione professionale esterna per eseguire regolari audit di conformità. Le aziende che conducono audit per conto proprio (internamente o con un’organizzazione esterna) devono aderire alle Linee guida per gli audit di conformità alla protezione delle informazioni personali pubblicate insieme alle misure (discusse di seguito).

Tuttavia, in determinate circostanze, le autorità per la protezione della cybersicurezza potrebbero richiedere a un’azienda di incaricare un’istituzione professionale per effettuare un audit di conformità. In particolare:

  • Quando le attività di trattamento dei dati personali dell’azienda incidono in modo significativo sui diritti e gli interessi personali degli interessati o evidenziano una grave mancanza di misure di sicurezza;
  • Quando le attività di trattamento dei dati personali dell’azienda rappresentano un potenziale rischio di violazione dei diritti e degli interessi di un gran numero di individui;
  • Quando si verifica un incidente riguardante la sicurezza delle informazioni personali all’interno dell’azienda, con conseguente diffusione, manomissione, perdita o distruzione di informazioni personali che interessano più di 1 milione di persone o le informazioni personali sensibili di oltre 100.000 persone.

Le istituzioni professionali incaricate di condurre audit sulle aziende devono mantenere riservate tutte le informazioni personali, i segreti commerciali e le informazioni commerciali riservate ottenute nel corso dell’audit, conformemente alla legge. È loro vietato divulgare o condividere illegalmente queste informazioni con altri. Inoltre, al termine dell’audit di conformità, devono disporre tempestivamente di tutte le informazioni pertinenti.

Requisiti per sottoporsi a un audit da parte di un’istituzione professionale

Le misure stabiliscono requisiti specifici per le aziende che, su richiesta delle autorità per la protezione della cyber security, devono sottoporsi a un audit condotto da un’istituzione professionale.

Questi requisiti includono:

  • Presentazione del rapporto di audit, rilasciato dall’istituto professionale, alle autorità per la protezione della cybersicurezza al termine della revisione. Il rapporto di audit deve essere firmato dal responsabile principale dell’azienda e dalla persona incaricata dell’audit di conformità presso l’istituto professionale e deve riportare il sigillo ufficiale dell’istituto professionale.
  • La rettifica dei problemi riscontrati durante l’audit, in conformità con i requisiti delle autorità di protezione della cyber security e la presentazione di un rapporto di rettifica alle autorità di protezione della cyber security entro 15 giorni lavorativi dalla rettifica di tali problemi.

Linee guida per lo svolgimento dell’audit di conformità sulla protezione delle informazioni personali

Come già evidenziato, le aziende che scelgono di condurre audit attraverso un’organizzazione interna o nominando un ente professionale (ma non sotto la direzione delle autorità di tutela della cybersecurity) devono attenersi alle linee guida emanate con i provvedimenti.

Le linee guida illustrano requisiti specifici per valutare la conformità alle diverse norme relative al trattamento delle informazioni personali, tra cui il rispetto delle normative sull’ottenimento del consenso, la protezione dei diritti e delle libertà degli interessati, l’esportazione delle informazioni personali e molto altro.

L’ambito delle attività che devono essere esaminate in base alle linee guida per l’audit è ampio e copre un totale di 27 aree di valutazione. A titolo esemplificativo, di seguito riportiamo i requisiti per tre di queste aree.

Valutazione della base giuridica per il trattamento dei dati personali

Nel valutare la base giuridica per il trattamento delle informazioni personali, l’audit deve esaminare una serie di aspetti per garantire che siano conformi alle normative cinesi sulla protezione delle informazioni personali.

Se il trattamento dei dati personali si basa sul consenso personale dell’individuo, è necessario valutare quanto segue:

  1. Se il consenso dell’individuo è stato ottenuto in modo volontario e informato;
  2. Se il consenso dell’individuo è stato ottenuto nuovamente qualora lo scopo, il metodo o il tipo di informazioni personali trattate siano modificati; e
  3. Se il consenso separato o scritto del soggetto è ottenuto in conformità con le leggi e i regolamenti amministrativi.

Se, però, le informazioni personali vengono elaborate senza il consenso personale, l’audit dovrà valutare se la specifica attività di trattamento rientra nelle circostanze in cui il consenso personale non viene richiesto.

I requisiti legali e la relativa base giuridica sono riassunti nella seguente tabella.

Esame degli elementi per la valutazione della base giuridica per il trattamento delle informazioni personali
Descrizione Requisito giuridico corrispondente Riferimento legislativo
Ottenimento del consenso volontario e informato da parte del soggetto. Le aziende possono elaborare le informazioni personali solo dopo aver ottenuto il consenso dell’individuo. Articolo 13, punto 1, della LDIP
Ottenimento di un nuovo consenso nel caso in cui lo scopo, il metodo o il tipo di informazioni personali trattate siano cambiati. Se lo scopo o il metodo di trattamento delle informazioni personali o il tipo di informazioni personali trattate cambiano, il consenso dell’individuo deve essere ottenuto nuovamente. Articolo 14 capoverso 2 della PIPL
Ottenimento del consenso separato o scritto in modo conforme Laddove le leggi e i regolamenti amministrativi prevedano che il trattamento dei dati personali debba ottenere il consenso separato o scritto dell’individuo, tali disposizioni prevarranno. Articolo 14 capoverso 1 della LDIP
Circostanze in cui non sia necessario richiedere il consenso da parte del soggetto interessato, nel caso in cui un’azienda elabori informazioni personali Le aziende possono elaborare i DP di un individuo senza il suo consenso nei seguenti casi:

  • Laddove sia necessario per la conclusione o l’esecuzione di un contratto di cui l’interessato è parte, o per la gestione delle risorse umane in conformità con le norme e i regolamenti del lavoro in base a leggi e contratti collettivi conclusi a norma di legge;
  • Laddove sia necessario per l’adempimento di doveri o obblighi di legge;
  • Laddove sia necessario per far fronte a emergenze di salute pubblica o per la salvaguardia della vita, della salute e dei beni di una persona fisica;
  • Quando attività di cronaca e di controllo dell’opinione pubblica siano svolte nell’interesse del pubblico e il trattamento dei dati personali avvenga entro limiti ragionevoli.
  • Quando i dati personali vengano divulgati dai soggetti stessi o altri dati personali legalmente divulgati vengano trattati entro limiti ragionevoli, in conformità con le disposizioni della PIPL; e
  • Altre circostanze previste da leggi e regolamenti amministrativi.
 Articolo 13 punti da 2 a 7 della PIL

Valutazione della conformità alle norme sul trattamento dei dati personali

Nel valutare la conformità alle norme sul trattamento delle informazioni personali, l’audit deve tenere in considerazione i seguenti fattori:

  • Se il nome o il cognome e le informazioni di contatto dell’azienda fornite sono veritieri, accurati e completi;
  • Se le informazioni personali raccolte dall’azienda, i metodi utilizzati per il trattamento e i tipi di informazioni personali trattate sono presentati in un elenco o in un altro modulo di facile consultazione;
  • Se l’attività di trattamento è direttamente collegata allo scopo previsto e se l’azienda ha adottato il metodo di trattamento con il minor impatto sui diritti e sugli interessi personali;
  • Se l’azienda ha chiaramente indicato il periodo di conservazione delle informazioni personali o il metodo per determinare il periodo di conservazione, il metodo per gestire le informazioni personali dopo la scadenza e la determinazione del periodo di conservazione più breve, necessario al raggiungimento dello scopo previsto dell’attività di trattamento; e
  • Se gli strumenti e i metodi di revisione, copiatura, trasferimento, correzione, integrazione, eliminazione e limitazione al trattamento delle informazioni personali, cancellazione degli account e revoca del consenso da parte degli interessati siano chiaramente indicati.
Analisi degli elementi di valutazione della conformità alle regole sul trattamento delle informazioni personali
Descrizione Requisito giuridico corrispondente Riferimento legislativo
Nome e cognome e informazioni di contatto di riferimento fornite dall’azienda sono veritiere, accurate e complete. Prima di elaborare le informazioni personali, l’azienda deve informare gli interessati in modo veritiero, accurato e completo sul nome e cognome di riferimento e sulle informazioni di contatto dell’azienda in modo evidente e in un linguaggio chiaro e comprensibile. Articolo 17 comma 1 della PIL
Le informazioni personali raccolte dall’azienda, i metodi utilizzati per il trattamento e il tipo di informazioni personali trattate sono presentati in un elenco o in un altro formato di facile visualizzazione. Prima di elaborare le informazioni personali, l’azienda deve informare l’individuo in modo veritiero, accurato e completo su scopo e metodo di trattamento delle informazioni personali e tipo di informazioni personali elaborate, in modo evidente e in un linguaggio chiaro e comprensibile. Articolo 17 comma 2 della PIL
L’attività di trattamento è direttamente correlata allo scopo previsto e l’azienda ha adottato il metodo di trattamento con il minor impatto sui diritti e sugli interessi personali. Il trattamento delle informazioni personali deve avere una finalità chiara e ragionevole, essere direttamente correlato alla finalità del trattamento e deve essere effettuato in modo da ridurre al minimo l’impatto sui diritti e sugli interessi personali. Articolo 6 della PIPL
L’azienda ha indicato chiaramente il periodo di conservazione delle informazioni personali o il metodo per determinare il periodo di conservazione; per gestire le informazioni personali dopo la scadenza e il periodo di conservazione necessario per raggiungere lo scopo previsto dell’attività di trattamento. Prima di elaborare le informazioni personali, l’azienda deve informare l’interessato in modo veritiero, accurato e completo del periodo di conservazione delle informazioni personali trattate, in modo evidente e in un linguaggio chiaro e comprensibile.

Il periodo di conservazione delle informazioni personali deve essere il più breve necessario per raggiungere lo scopo del trattamento.

Se, prima di elaborare le informazioni personali, l’azienda informa l’interessato stabilendo regole di trattamento delle informazioni personali, tali regole devono includere l’indicazione del periodo di conservazione delle informazioni personali e del metodo di gestione delle stesse dopo la scadenza. Se il periodo di conservazione è difficile da determinare, dovrà essere chiaramente indicato il metodo per determinare il periodo di conservazione.

 Articolo 17 comma 2 della LDIP

 

Articolo 19 della PIPL

 

Articolo 21 comma 3 del regolamento sulla gestione della sicurezza dei dati di rete
Gli strumenti e metodi per rivedere, copiare, trasferire, correggere, integrare, eliminare, limitare il trattamento delle informazioni personali, cancellare gli account e revocare il consenso da parte degli interessati sono chiaramente indicati. Se, prima di elaborare le informazioni personali, l’azienda informa l’interessato stabilendo regole sul trattamento delle informazioni personali, tali regole devono includere i metodi e gli strumenti per consentire agli individui di rivedere, copiare, trasferire, correggere, integrare, eliminare, limitare il trattamento delle informazioni personali, cancellare gli account e revocare il consenso. Articolo 21 comma 4 del regolamento sulla gestione della sicurezza dei dati di rete

Valutazione della conformità alle norme sul trasferimento transfrontaliero dei dati

Nel valutare la conformità alle norme sul trasferimento transfrontaliero di informazioni personali, l’audit deve riguardare i seguenti aspetti:

  1. Se le informazioni personali fornite all’estero dagli operatori di infrastrutture informatiche critiche (CIIO) sono state oggetto di una valutazione della sicurezza dell’esportazione dei dati organizzata dal CAC.
  1. Se le aziende, diverse dai CIIO, che a partire dal 1° gennaio dell’anno in corso, hanno fornito i dati personali di più di 1 milione di persone o i dati personali sensibili di più di 10.000 persone all’estero, hanno effettuato una valutazione della sicurezza dell’esportazione dei dati organizzata dalla CAC.
  1. Se le aziende diverse dai CIIO che, dal 1° gennaio dell’anno in corso, hanno esportato cumulativamente le informazioni personali di più di 100.000 persone, ma meno di 1 milione di persone, o le informazioni personali sensibili di meno di 10.000 persone, hanno:
    1. ottenuto la certificazione sulla protezione delle informazioni personali;
    2. firmato un contratto standard con i destinatari esteri delle informazioni personali; o
    3. soddisfatto altre condizioni previste da leggi, regolamenti amministrativi o dal CAC;
  2. Se la divulgazione di dati personali archiviati in Cina a un’agenzia giudiziaria o di forze dell’ordine straniera è stata approvata dalle autorità cinesi competenti; e
  3. Se le informazioni personali sono state fornite a organizzazioni e soggetti inclusi nell’elenco delle entità a cui è vietato o limitato il trattamento delle informazioni personali.
Analisi degli elementi di valutazione della conformità alle norme sul trasferimento transfrontaliero dei dati
Descrizione Requisito giuridico corrispondente Riferimento legislativo
Le informazioni personali fornite all’estero dai CIIO sono state oggetto di una valutazione della sicurezza sull’esportazione dei dati organizzata dal CAC. Qualora le aziende desiderino esportare dati, devono sottoporsi a una valutazione della sicurezza da parte del CAC se:

  • CIIO e aziende che trattano i dati personali di più di un milione di persone forniscono dati personali all’estero
 Articolo 38 della PIL

 

Articolo 4 punto 2 delle misure per la valutazione della sicurezza dell’esportazione di dati
Indipendentemente dal fatto che le aziende diverse dai CIIO che, dal 1° gennaio dell’anno in corso, hanno fornito le informazioni personali di oltre 1 milione di persone o le informazioni personali sensibili di oltre 10.000 persone all’estero siano state sottoposte a una valutazione della sicurezza dell’esportazione dei dati organizzata dal CAC. Le aziende diverse dai CIIO che esportano all’estero dati importanti, o che hanno fornito le informazioni personali di oltre 1 milione di persone o le informazioni personali sensibili di più di 10.000 persone cumulativamente dal 1° gennaio dell’anno in corso, devono sottoporsi a una valutazione della sicurezza da parte del CAC. Articolo 38 della PIL

 

Articolo 7, paragrafo 2, del regolamento per la promozione e la standardizzazione dei flussi transfrontalieri di dati
Se le aziende diverse dai CIIO che, dal 1° gennaio dell’anno in corso, hanno esportato cumulativamente le informazioni personali di più di 100.000 persone ma meno di 1 milione di persone, o le informazioni personali sensibili di meno di 10.000 persone, hanno:

  1. Ottenuto la certificazione sulla protezione delle informazioni personali;
  2. Ha firmato un contratto standard con i destinatari esteri delle informazioni personali; o
  3. Ha soddisfatto altre condizioni previste da leggi, regolamenti amministrativi o dal dipartimento nazionale di amministrazione del cyberspazio.
 Le aziende diverse dai CIIO che hanno fornito le informazioni personali di più di 100.000 persone ma meno di 1 milione di persone o le informazioni personali sensibili di meno di 10.000 persone dal 1° gennaio dell’anno in corso devono stipulare un contratto standard con il destinatario estero o ottenere la certificazione di protezione delle informazioni personali. Articolo 38 della PIL

 

Articolo 8 del regolamento per la promozione e la standardizzazione dei flussi transfrontalieri di dati
Se la fornitura di informazioni personali conservate in Cina a un’agenzia giudiziaria o di polizia straniera è stata approvata dalle autorità cinesi competenti. Senza l’approvazione dell’autorità cinese competente, le aziende non devono fornire informazioni personali conservate in Cina ad agenzie giudiziarie o di polizia al di fuori del territorio cinese. Articolo 41 della PIL
Se le informazioni personali sono state fornite a organizzazioni e individui inclusi nell’elenco delle entità a cui è stata vietata o vietata la ricezione di informazioni personali. Se organizzazioni o individui stranieri si impegnano in attività di trattamento delle informazioni personali che violano i diritti e gli interessi dei cittadini cinesi o minacciano la sicurezza nazionale o gli interessi pubblici della Cina, il CAC può aggiungerli a un elenco di entità limitate o vietate dalla ricezione di informazioni personali. Il CAC può anche emettere annunci pubblici e attuare misure quali la limitazione o il divieto del trasferimento di informazioni personali a tali entità. Articolo 42 della PIPL

Sanzioni per le violazioni

Se un’azienda o un istituto professionale incaricato di condurre un audit viola le disposizioni delle misure, può essere passibile di sanzioni ai sensi della PIPL, dei regolamenti sulla gestione della sicurezza dei dati di rete e di altre leggi e regolamenti sulla sicurezza dei dati.

Ai sensi del PIPL, le aziende possono essere multate fino a 1 milione di RMB (137.292 dollari) per non conformità, se non corrette, mentre gli individui possono essere multati tra 10.000 RMB (1.373 USD) e 100.000 RMB (13.729 USD). Le violazioni gravi possono portare a multe fino a 50 milioni di RMB (6,9 milioni di dollari) o al 5% del fatturato dell’anno precedente per le aziende, o tra 100.000 RMB e 1 milione di RMB per i privati.

Le violazioni possono anche portare alla sospensione delle relative operazioni commerciali, alla revoca di licenze o permessi commerciali o al divieto per le persone responsabili di ricoprire il ruolo di direttori, supervisori, senior manager o responsabili della protezione delle informazioni personali per un certo periodo.

Nel frattempo, le sanzioni per le violazioni delle normative sulla gestione della sicurezza dei dati di rete possono includere multe fino a 1 milione di RMB per le aziende e tra 10.000 e 100.000 RMB per gli individui per violazioni generali. Le violazioni gravi possono portare a multe da 1 milione di RMB a 10 milioni di RMB (1,4 milioni di USD) per le aziende se le violazioni non vengono corrette.

Implicazioni per le imprese estere e modifiche rispetto ai progetti di misure

Trova supporto per le aziende
Scopri cosa può fare per te un CIO Virtuale ⟶

I requisiti per gli audit di conformità regolari aggiungeranno un ulteriore onere di conformità per le società straniere che operano in Cina, simile agli audit finanziari previsti dalla legge. Tuttavia, la versione finale delle misure ha alleggerito i requisiti rispetto alla bozza. Ad esempio, aumenta la soglia per richiedere un audit alle aziende che elaborano le informazioni personali di 1 milione di persone a 10 milioni, il che significa che meno aziende saranno soggette a audit obbligatori. Inoltre, queste società sono ora tenute a condurre un audit solo una volta ogni due anni, anziché una volta all’anno, come previsto dal progetto di misure. La versione finale non specifica nemmeno la frequenza con cui le aziende che scendono al di sotto di questa soglia devono sottoporsi a un audit: il progetto di misure stabilisce una frequenza minima di una volta ogni due anni.

Sebbene l’audit stesso introduca un ulteriore processo di conformità, le aziende che stanno già lavorando per soddisfare i requisiti normativi non dovrebbero preoccuparsi eccessivamente dell’esito dell’audit. In effetti, gli audit di conformità possono aiutare le aziende a comprendere meglio come le normative verranno applicate nella pratica. La trasparenza e la cooperazione con i revisori saranno fondamentali per garantire un processo di audit senza intoppi. Le aziende che devono ancora implementare le procedure per conformarsi alle leggi cinesi sulla protezione delle informazioni personali dovrebbero adottare misure immediate per affrontare eventuali lacune o violazioni.

Chi siamo

China Briefing è una delle cinque pubblicazioni di Asia Briefing, casa editrice di Dezan Shira & Associates. Dal 1999, divulghiamo notizie pratiche su aspetti normativi, fiscali, contabili e di gestione all’internazionalizzazione in Asia. Per abbonarti gratuitamente clicca qui.

Dezan Shira & Associates assiste gli investitori stranieri in Cina dal 1992 attraverso gli uffici di Pechino, Tianjin, Dalian, Qingdao, Shanghai, Ningbo, Suzhou, Guangzhou, Haikou, Zhongshan, Shenzhen, Haikou e Hong Kong. Altri uffici diretti sono in Vietnam, Indonesia, Singapore, Stati Uniti, Germania, Italia, India, Dubai (Emirati Arabi Uniti) e Mongolia. Attraverso partner diretti offriamo supporto anche nelle Filippine, Malesia, Tailandia, Bangladesh e Oceania. Per assistenza in Cina, contatta l’indirizzo china@dezshira.com.