Legge cinese sulla protezione dei dati personali: Considerazioni sulla conformità da una prospettiva IT
Quando la legge sulla protezione dei dati personali entrerà in vigore in Cina, la privacy dei dati riceverà una spinta importante. Nonostante non sia ancora stata confermata la tempistica di attuazione della legge, parliamo di come le aziende (con sede in Cina e quelle impegnate in operazioni commerciali con persone residenti in Cina) dovrebbero prepararsi in anticipo per garantire la conformità sulla privacy dei dati.
Relativamente alle misure per la garanzia della privacy, che diventano prioritarie a livello mondiale, molti paesi hanno elaborato leggi e regolamenti sulla protezione dei dati personali. Anche la Cina ha pubblicato la propria bozza di legge sulla protezione dei dati personali (PIPL), che il 19 Novembre 2020 ha concluso il periodo di consultazione.
Quando la bozza della PIPL verrà approvata, la Cina avrà finalmente una legge statale e generale sulla protezione dei dati personali. Anche se non è ancora stato stabilito un calendario per l’approvazione di questa legge, si suggerisce alle aziende che fanno affari in Cina di studiare la bozza della legge e predisporre quanto necessario, se possibile, in considerazione dell’impatto potenzialmente ampio della PIPL.
Chi ha familiarità con il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR), alla prima lettura della bozza della PIPL, vi troverà qualche somiglianza poiché alcuni concetti sono stati “presi in prestito”.
La PIPL sarà applicabile ad ogni organizzazione e individuo che tratti i dati personali in Cina. Per le aziende che si trovano al di fuori dalla Cina, la PIPL sarà applicabile anche se queste forniscono servizi o prodotti a persone in Cina o analizzano e valutano le attività di persone che si trovano sul territorio cinese.
La bozza della PIPL prevede sanzioni considerevoli per le violazioni gravi, tra cui ordini di rettifica, confisca dei guadagni illegali, sospensione dell’attività, revoca delle licenze commerciali e multe fino a 50 milioni di RMB (circa 7,6 milioni di dollari) o il 5% del reddito dell’anno precedente. Anche i responsabili della protezione dei dati personali saranno soggetti a sanzioni fino a 1 milione di RMB (circa 153.200 dollari).
Di seguito condividiamo alcune analisi dalla prospettiva IT sulla gestione delle operazioni interne e rispondiamo alle domande più frequenti.
1. La mia azienda sarà regolata dalla Legge cinese sulla Protezione delle Informazioni Personali?
Un malinteso comune sulla PIPL è che essa sia applicabile solo alle società di internet, come Tencent, Baidu, Bytedance, ecc. In realtà, chi ha un business in Cina sarà regolato dalla nuova PIPL in quanto ci sono sempre informazioni personali, come l’indirizzo e-mail e il numero di telefono, che vengono raccolte ed elaborate durante le operazioni commerciali e le interazioni con i clienti.
Inoltre, anche se l’azienda non ha una sede fisica in Cina, può comunque essere regolata dalla PIPL – se la sua azienda tratta le informazioni personali di persone in Cina allo scopo di fornire prodotti o servizi alle persone in Cina, o di analizzare e valutare le attività delle persone in Cina. Alcuni esempi sono la vendita di prodotti ai consumatori cinesi attraverso lo shop internazionale Tmall, o i corsi di preparazione linguistica online, o l’utilizzo di tecnologie basate sull’Intelligenza Artificiale per sorvegliare le persone in Cina (come il riconoscimento facciale, il tracciamento della posizione, la profilazione, ecc.).
Scopri che cosa deve fare la tua azienda per essere in regola con la Legge cinese sulla Protezione dei Dati Personali
2. Come posso determinare il potenziale impatto della nuova PIPL sull’infrastruttura e le applicazioni IT della mia azienda?
In base alla PIPL ci sono alcune cose da considerare in merito all’infrastruttura IT o al design del sistema delle aziende.
Se le informazioni personali trattate dall’azienda possono essere trasferite fuori dalla Cina
Molte PMI utilizzano il sistema utilizzato dalla sede centrale per supportare le loro attività in Cina allo scopo di risparmiare sui costi. Questo significa che tutti i dati, incluse le informazioni personali, verranno trasferite fuori dalla Cina e salvate nel Sistema utilizzato dalla sede centrale. Secondo la bozza della PIPL, per trasferire le informazioni personali fuori dalla Cina, le aziende devono soddisfare almeno una delle condizioni elencate di seguito:
- Se è stata superata la valutazione di sicurezza organizzata dall’amministrazione statale per il cyberspazio;
- Se è stata certificata da uno specialista in conformità con le disposizioni dell’amministrazione statale del cyberspazio in materia di protezione dei dati personali;
- Se ha concluso un contratto con un destinatario estero che specifichi i diritti e gli obblighi di entrambe le parti e abbia supervisionato il trattamento delle informazioni personali del destinatario per garantire che il trattamento del destinatario soddisfi gli standard di protezione delle informazioni personali;
- Se ha soddisfatto altre condizioni previste dalle leggi, dai regolamenti amministrativi o dall’amministrazione statale per il cyberspazio.
Fra queste condizioni, la terza è la più facile da gestire da parte dell’azienda. Pertanto, se l’azienda si trova in questa situazione, e utilizza i sistemi IT della sede centrale, sarà necessario predisporre un contratto, con il proprio ufficio legale, che risponda a tutti i requisiti previsti dalla PIPL.
Bisogna sapere che questa strategia non sempre funziona. Se l’azienda viene classificata come “operatore di infrastrutture informatiche critiche” – il che è riferito ad operatori impegnati in industrie e settori importanti, come le comunicazioni pubbliche, il servizio informativo, l’energia, i trasporti, la conservazione dell’acqua, la finanza e il servizio pubblico e l’e-government – si richiede che tutti i dati personali vengano salvati all’interno del territorio cinese, a meno che non si possa superare la valutazione di sicurezza organizzata dall’amministrazione statale del cyberspazio. Questo significa che l’azienda deve prevedere la creazione di un’infrastruttura IT autonoma in Cina, sia sul cloud che sul posto.
Inoltre, anche se l’azienda imposta l’infrastruttura IT e salva tutte le informazioni personali raccolte all’interno del territorio cinese, se l’azienda fornisce al personale della sede centrale strumenti di accesso remoto per accedere ai dati salvati in Cina, il trasferimento di fatto dei dati a livello trasversale può ancora avvenire. In questo caso, l’azienda deve considerare la riorganizzazione dei processi lavorativi per evitare l’accesso da remoto, o fornire solo informazioni generali come un rapporto riassuntivo, piuttosto che le informazioni personali dettagliate.
Se vengono trattati dati personali sensibili
Secondo la bozza della PIPL, i ‘dati personali sensibili’ si riferiscono alle informazioni personali che possono causare discriminazione o grave danno alla sicurezza personale o della proprietà, una volta utilizzati o divulgati illecitamente, incluse le informazioni su razza, etnia, credenze religiose, caratteristiche biologiche personali, stato di salute, conti finanziari e localizzazione. Questa definizione è molto più ampia rispetto a quella del GDPR o di altre leggi dello stesso tipo. Secondo questa definizione, le informazioni sulla posizione, il numero di telefono cellulare, il conto bancario, i dati sulle transazioni finanziarie, ecc. sono considerati allo stesso modo dati personali sensibili.
I dati personali sensibili richiedono un’ulteriore protezione dal punto di vista legislativo. Se l’azienda intende trattare dati personali sensibili, bisognerà considerare la progettazione di un’interfaccia differenziata di avviso sulla privacy in quanto la PIPL richiede il “consenso individuale ed esplicito” per ogni motivo di trattamento dei dati sensibili. Ciò significa che non si può chiedere all’utente di spuntare una casella di controllo per acconsentire a tutte le finalità di trattamento dei dati. Ci vorrà invece un elenco delle finalità di trattamento dei dai personali sensibili per ottenere il consenso esplicito dell’utente.
Se nell’organizzazione vengono sviluppate tecniche di classificazione e conservazione dei dati
La bozza della PIPL richiede alle aziende di gestire i dati personali secondo una classificazione gerarchica e di conservare le informazioni personali per un periodo minimo e necessario. Questo significa che l’azienda deve sviluppare tecniche pertinenti per la rilevazione, l’identificazione e la classificazione dei dati personali raccolti e trattati, oltre a implementare una politica di corretta archiviazione dei dati per cancellare i dati personali che non sono più utili allo scopo iniziale della loro raccolta.
Capire se l’azienda utilizza
Il governo cinese ha lanciato diverse campagne sulle app mobili per combattere la raccolta e l’elaborazione illegale delle informazioni personali, le richieste inappropriate di autorizzazione all’accesso, un processo scomodo di de-registrazione dell’account e l’avviso non trasparente sulla politica della privacy. Per molte app è stata richiesta la correzione o il ritiro dagli app-store.
Pertanto, se l’azienda utilizza app mobili per comunicare con le persone o fornire servizi ai clienti, bisognerà prestare maggiore attenzione nella fase di sviluppo della app stessa ed assicurarsi che le richieste di permesso di accesso siano corrette. In particolare questo è il caso in cui si utilizzino kit di sviluppo software di terze parti (SDK) per le proprie app aziendali in quanto i SDK terzi potrebbero intercettare i dati personali raccolti ed utilizzarli con altre finalità.
3. Che cosa devo fare per essere sicuro della conformità?
Secondo la bozza della PIPL, il “data processor”, che attualmente combina il concetto di “responsabile del trattamento dei dati” e di “data processor” nel GDPR, ha la responsabilità di adottare le misure appropriate per proteggere i dati personali trattati.
Di seguito riportiamo alcuni accorgimenti comuni che le aziende potrebbero adottare per proteggere i dati personali e rispondere ai requisiti di conformità imposti dalla PIPL. Per una più facile comprensione dividiamo la misura in due categorie: misure tecniche e misure organizzative.
Misure tecniche
- Misure generali di controllo della sicurezza: la protezione dei dati personali è combinata con la sicurezza generale delle informazioni e il triangolo CIA (riservatezza, integrità, disponibilità) per migliorare l’obiettivo finale della sicurezza delle informazioni per la protezione dei dati personali. Pertanto, per prepararsi alla PIPL, migliorare il controllo della sicurezza generale della propria azienda può rappresentare il primo passo ed il caposaldo di questa attività.
- Crittografia: L’applicazione di misure di crittografia per i DAR (dati a riposo) e per i DIM (dati in movimento) sono soluzioni efficaci per migliorare la sicurezza informatica, che possono aiutare a mitigare le conseguenze di possibili violazioni alla sicurezza. Le pratiche comuni comprendono la crittografia della banca dati con alcune misure (come la crittografia trasparente del database), crittografando i file salvati sul server e sui computer con BitLocker o tecniche simili di crittografia del traffico in rete utilizzando il protocollo https con TLS aggiornato.
- Misure di de-identificazione: Applicare tecniche di de-identificazione per ridurre la sensibilità delle informazioni personali, o anche ottenere l’anonimato delle informazioni personali, ridurrà il rischio di violazione della PIPL.
- Classificazione dei dati / conservazione dei dati / misure di prevenzione dalla perdita dei dati (DLP: L’applicazione di adeguate tecniche di classificazione e conservazione dei dati con misure DLP può rilevare, classificare e prevenire la fuga di dati sensibili, nonché cancellare i dati non necessari secondo la politica di conservazione, in modo automatico per ottenere una conservazione “minima e necessaria”.
- “Privacy by design” e “privacy by default”: Quando si progetta un prodotto, le aziende non dovrebbero considerare solo la funzionalità del prodotto, ma, fin dall’inizio, anche la protezione dei dati personali. Inoltre, le aziende dovrebbero utilizzare l’impostazione predefinita delle loro applicazioni in modo da renderle privacy-friendly. Ad esempio, molte aziende adottano una strategia opt-out nella protezione dei dati personali, il che significa che le informazioni personali saranno raccolte secondo un’impostazione predefinita, ma gli utenti avranno la possibilità di bloccarne la raccolta, come “annullare l’iscrizione all’e-mail”. Tuttavia, nelle impostazioni privacy-friendly, prevale una strategia opt-in, il che significa che nessuna informazione personale sarà raccolta o elaborata senza il consenso esplicito dell’individuo.
Misure organizzative
- Valutazione d’impatto sulla protezione dei dati (o valutazione d’impatto sulla privacy dei dati – DPIA): Con la DPIA, l’azienda può riconoscere i rischi specifici riguardanti la protezione dei dati personali, analizzare in che modo i programmi/sistemi raccolgono, utilizzano, condividono e conservano i dati personali e decidere le misure per affrontare i rischi identificati.
- Personale: L’azienda dovrebbe incaricare risorse umane adeguate per il lavoro di protezione dei dati personali, che includano una squadra per la sicurezza delle informazioni generali, un addetto alla privacy o anche un responsabile della protezione dei dati (DPO). Inoltre, secondo l’Articolo 51 della PIPL, le aziende che si trovano fuori dal territorio cinese, ma forniscono prodotti/servizi sul territorio cinese o analizzano e valutano le attività della popolazione cinese, devono “costituire un’agenzia speciale o designare un rappresentante all’interno del territorio cinese”.
- Formazione: Secondo la bozza della PIPL, le aziende dovrebbero provvedere ad una formazione regolare su sicurezza e privacy per tutto il personale, assicurando una conoscenza aggiornata nell’ambito della protezione dei dati personali.
Considerata l’applicazione potenzialmente ampia della PIPL e delle misure necessarie alla conformità secondo la legge cinese (come quelle discusse in questo articolo), le aziende che saranno regolate dal PIPL, in occasione della pianificazione del loro budget per il prossimo anno, devono tenere conto dei costi rilevanti sostenuti per garantire la protezione dei dati personali. Ciò nel caso in cui la PIPL entri in vigore nel 2021: in tale eventualità l’azienda potrebbe non avere le risorse di bilancio necessarie ad attuare le misure per la conformità.
China Briefing è prodotta da Dezan Shira & Associates. Con uffici in Cina, Hong Kong, Vietnam, India, Indonesia, Singapore, Germania, Italia, Stati Uniti e Russia, Dezan Shira supporta gli investitori stranieri in Asia da tre decenni.
Hai una domanda su come fare affari in Asia? Contattateci all'indirizzo italiandesk@dezshira.com, o visitateci all'indirizzo
- Previous Article China’s Industrial Standards for the Internet of Things: What the Draft Guidelines Say
- Next Article Belt and Road Weekly Investor Intelligence, #17