Lo scorso 1 novembre è entrata in vigore la Personal Information Protection Law (da qui in poi “PIPL”), che disciplina la protezione dei dati personali in Cina. La legge, approvata lo scorso 20 agosto, è stata promossa come il GDPR d’Oriente, segno della volontà della Repubblica cinese di dotarsi di un impianto legislativo più solido su temi rilevanti come la tutela dei dati personali, anche nell’ottica di consolidare il proprio ruolo di potenza mondiale. 

Tuttavia, nonostante il parallelismo con la disciplina europea e nonostante sia senz’altro possibile ravvisare delle similitudini fra i due provvedimenti, notevoli sono anche le divergenze, tutti elementi da tenere in considerazione soprattutto nel cercare di prevedere quale impatto avrà questa riforma sui rapporti commerciali e politici fra la Cina e l’Unione Europea.

La disciplina in esame si affianca ad altre due importanti leggi, la Cybersecurity Law e la Data Security Law, che completano il quadro normativo in materia.

Il commento alla disciplina si basa sulla traduzione in lingua inglese della legge, attualmente disponibile nelle banche dati giuridiche.

1. Scopo e ambito di applicazione materiale della disciplina

Lo scopo, enunciato dall’articolo 1, è quello di garantire la protezione dei diritti e degli interessi delle “informazioni personali” (personal information), di standardizzare i trattamenti che hanno ad oggetto tali informazioni e promuoverne un utilizzo ragionevole. 

L’ambito di applicazione materiale della disciplina è dunque quello dei trattamenti aventi ad oggetto le informazioni personali. Queste ultime sono definite come le informazioni relative ad una persona fisica identificata o identificabile, che siano state registrate elettronicamente o non, ad esclusione delle informazioni anonimizzate (l’anonimizzazione è definita, invece, come il trattamento delle informazioni personali tale da rendere impossibile – irreversibilmente – l’identificazione delle persone a cui i dati si riferiscono). Si noti che tale definizione si discosta da quella fornita tanto dalla Cybersecurity Law, quanto dal nuovo Codice Civile cinese, estendendo la portata della protezione fornita da tali provvedimenti. A differenza di questi ultimi, secondo i quali le “informazioni personali” sono tali se permettono di identificare una persona fisica direttamente o in combinazione con altre informazioni, la PIPL qualifica infatti come informazioni personali anche quelle che siano soltanto “relative a” una persona fisica. Il senso è dunque lo stesso che troviamo nel GDPR e nella legislazione italiana, a partire dalla legge 675 del 1996 per arrivare al Codice della privacy. 

Ai sensi dell’art. 28, vengono invece definite informazioni ‘sensibili’ quelle informazioni che, una volta trapelate o utilizzate illegalmente, possono causare un danno alla dignità delle persone fisiche, alla loro sicurezza personale o alla proprietà, ivi inclusi i dati biometrici, i dati riguardanti il credo religioso, la presenza di condizioni particolari (la versione inglese è “specially-designated status”), quelli concernenti lo stato di salute o le condizioni finanziare, i dati di localizzazione e, infine, le informazioni relative ai minori al di sotto dei 14 anni. Nel caso di trattamento di informazioni sensibili devono essere osservati obblighi ulteriori, fra cui quello di porre in essere un Personal Information Protection Impact Assessment (assimilabile alla DPIA prevista dal GDPR), di cui si dirà meglio nel prosieguo.

L’articolo 4 fornisce altresì la definizione di “trattamento”, includendo entro tale nozione la raccolta, la conservazione, l’utilizzo, la trasmissione, la fornitura, la comunicazione e la cancellazione delle informazioni personali. È qui ravvisabile una prima differenza rispetto al GDPR, a norma del quale il trattamento dei dati personali include “qualsiasi azione” compiuta su di essi, al fine di ampliare quanto più possibile lo spettro della tutela garantita dal Regolamento. Nel caso di informazioni sensibili, il trattamento è ammesso solo per il perseguimento di uno scopo specifico e per soddisfare un determinato bisogno, in presenza di circostanze determinate e previa adozione di adeguate misure di protezione. Inoltre, il trattamento di dati sensibili rientra fra le ipotesi per le quali è richiesto l’ottenimento di un separato consenso da parte dell’interessato.

2. Ambito di applicazione territoriale

Ai sensi dell’art. 3 della PIPL, la disciplina si applica a tutti i trattamenti posti in essere all’interno del territorio della Repubblica Popolare cinese, sia dai gestori delle informazioni che dai responsabili. La norma richiama quanto previsto dalla disciplina del GDPR, sebbene non venga impiegata la nozione di “stabilimento” quale criterio di riferimento. 

L’articolo individua al contempo le condizioni in presenza delle quali si ha un’estensione extraterritoriale della disciplina, cioè le ipotesi in cui questa trovi applicazione rispetto a trattamenti che, pur avendo ad oggetto le informazioni personali di persone fisiche che si trovano nel territorio della Repubblica popolare cinese, abbiano luogo al di fuori di questo. 

In particolare, ciò è possibile se lo scopo dell’attività è quello di fornire prodotti o servizi a persone fisiche che si trovano in Cina, oppure analizzare o valutarne il comportamento o, infine, in ogni altra circostanza prevista da leggi o regolamenti amministrativi. Le prime due ipotesi fanno eco a quanto sancito dal GDPR, mentre la terza, in assenza di ulteriori specificazioni, solleva qualche perplessità sulla portata della norma e sull’applicazione pratica che se ne potrebbe fare. In ogni caso, ai sensi dell’art. 53, i soggetti che pongono in essere trattamenti di informazioni personali pur trovandosi fuori dal territorio della Repubblica cinese, sono tenuti a nominare un proprio rappresentante, comunicandone i dati alle autorità competenti all’esercizio dei doveri previsti dalla disciplina sulla protezione dei dati personali.

3. I soggetti coinvolti nel trattamento dei dati personali

Non viene fornita alcuna definizione di soggetto interessato, mentre la figura del titolare del trattamento è equiparabile a quella del “gestore delle informazioni” (data handler), ossia l’organizzazione o il soggetto che, in maniera indipendente, determina lo scopo e i mezzi del trattamento. Il linguaggio utilizzato si discosta da quello impiegato dalla disciplina europea, verosimilmente per ragioni di coerenza con il nuovo Codice Civile da poco entrato in vigore, che non adotta la nozione di titolare, ma – appunto – quella di gestore. 

Ai sensi dell’art. 9, il gestore delle informazioni risponde del trattamento ed è tenuto ad adottare le misure necessarie per assicurarne la sicurezza. Nel caso in cui più gestori delle informazioni determinino congiuntamente lo scopo e i mezzi del trattamento, a norma dell’art. 20 questi dovranno disciplinare i rispettivi diritti e obblighi con un accordo, pur restando responsabili in solido per gli eventuali danni cagionati dal trattamento. L’art. 51 individua in modo puntuale le misure che il gestore delle informazioni è tenuto ad adottare, per garantire che il trattamento sia conforme alle disposizioni di legge ed arginare il rischio di accessi non autorizzati, così come quello di diffusione, distorsione o perdita dei dati. In particolare, questi sarà tenuto a predisporre meccanismi interni di gestione e regole operative, introdurre misure di sicurezza tecniche distinte a seconda delle diverse categorie di informazioni, determinare i limiti ragionevoli del trattamento e condurre regolarmente sessioni di formazione del personale, formulare e disporre un piano di risposta per eventuali data breach, nonché adottare tutte le altre misure previste da leggi o regolamenti amministrativi. 

È inoltre posto in capo al gestore l’obbligo di condurre audit e, come anticipato poc’anzi, di disporre un Personal Information Protection Impact Assessment - ossia una valutazione dei rischi e di adeguatezza delle misure di sicurezza paragonabile alla DPIA di cui all’art. 35 del GDPR - in presenza di determinate condizioni, fra le quali è incluso, ad esempio, il caso in cui debba essere nominato un responsabile del trattamento o le informazioni debbano essere trasferite ad un altro gestore, o qualora le informazioni debbano essere trasferite all’estero e in tutte le ipotesi di attività che abbiano un impatto notevole sugli individui. L’art. 56 individua il contenuto minimo dell’assessment, prevedendo che questo debba valutare: a) se lo scopo e le modalità del trattamento siano legittimi, leciti e necessari, b) l’impatto sui diritti e gli interessi degli individui, nonché i rischi per la sicurezza, c) se le misure adottate siano legittime, efficaci e adatte al livello di rischio. I risultati della valutazione devono essere inclusi in un report e conservati per un periodo di almeno tre anni.

Nel caso di data breach, il gestore delle informazioni è tenuto ad adottare i rimedi necessari e informare immediatamente le autorità e gli individui, comunicando loro la tipologia di danno, le cause e i possibili effetti in termini di diffusione, distorsione o perdita dei dati, congiuntamente ai propri contatti. La comunicazione agli individui può essere esclusa nel caso in cui il gestore sia in grado di adottare misure che effettivamente fanno venir meno il rischio di un danno.

Un profilo interessante è quanto previsto dall’art. 58 della PIPL, che impone obblighi ulteriori ai gestori del trattamento che forniscono importanti servizi di piattaforma su Internet. Si tratta infatti di una disposizione assente nel GDPR, ma che risponde alla medesima ratio del Digital Markets Act e del Digital Services Act, le due proposte di Regolamento presentate dalla Commissione Europea per la regolamentazione del Mercato Unico Digitale.

Nel caso in cui il trattamento riguardi informazioni personali riferibili ad un alto numero di soggetti, il gestore è tenuto a nominare un DPO, che avrà il compito di supervisionare le attività svolte, nonché l’adozione delle adeguate misure di protezione.

La figura del responsabile del trattamento, prevista dall’art. 21, è costruita in modo conforme a quanto previsto dal GDPR. Questo potrà infatti agire nei limiti di quanto stabilito dal gestore delle informazioni e soltanto in presenza di un accordo contrattuale con quest’ultimo.

L’art. 23 introduce poi la figura dei destinatari, ossia i gestori delle informazioni a cui le informazioni personali possono essere trasmesse da parte del gestore originario. Quest’ultimo sarà tenuto a fornire alla persona fisica i dati del destinatario, comunicargli lo scopo e le modalità del trattamento e le categorie di dati trattati, ottenendo un consenso separato dalla persona fisica.

4. I principi

Gli artt. 5 e ss disciplinano i principi a cui dev’essere ispirato il trattamento delle informazioni. Molti richiamano il disposto di cui all’art. 5 del GDPR, anche se – nuovamente – con delle importanti differenze. Anzitutto, il trattamento dovrà essere lecito, legittimo, necessario e in buona fede. Quest’ultimo requisito, che rappresenta un concetto molto rilevante nel diritto contrattuale cinese, è assimilabile, anche se non del tutto coincidente, al principio di correttezza previsto dal GDPR. 

Il principio di necessità va invece tenuto distinto da quello di minimizzazione, pure previsto dall’art. 6 della PIPL. Quest’ultimo, infatti, è riferito solo alla raccolta dei dati, mentre il primo ha una portata più ampia, trovando applicazione rispetto a tutti i possibili trattamenti. L’art. 6 prevede anche il principio di limitazione delle finalità, affermando che il trattamento può avere luogo solo per un fine specifico e ragionevole, che sia direttamente riconducibile al trattamento e che abbia il minore impatto possibile sui diritti e gli interessi personali.

I principi di trasparenza, accuratezza e sicurezza dei dati sono disciplinati rispettivamente dagli articoli 7, 8 e 9. 

5. Le basi giuridiche del trattamento

Una delle novità più importanti introdotte dalla PIPL rispetto alla vecchia disciplina della protezione dei dati personali, è rappresentata dal superamento del principio del consenso e la contestuale previsione di altre basi giuridiche che legittimino il trattamento delle informazioni personali. L’impostazione è simile a quella adottata dal GDPR, anche se sussistono differenze sostanziali, a partire dal fatto che il legittimo interesse non è incluso fra le basi giuridiche previste dalla disciplina cinese.

Oltre al consenso della persona fisica, che dovrà essere volontario, esplicito ed informato, il trattamento potrà essere eseguito (art. 13):

- se necessario per l’esecuzione di un contratto o nell’ambito della gestione delle risorse umane (human resources management) (n. 2), 

- se necessario per l’adempimento ad obblighi o responsabilità statutarie (n. 3),

- per rispondere ad emergenze di salute pubblica, per proteggere la vita, la salute o la proprietà delle persone fisiche in caso di emergenza (n. 4),

- se le informazioni sono trattate nei limiti di uno scopo ragionevole per lo svolgimento di attività di cronaca e monitoraggio dell’opinione pubblica per finalità di interesse pubblico (n. 5),

- se le informazioni personali trattate sono già state divulgate dagli individui o comunque divulgate per legge e il trattamento è posto in essere nei limiti di uno scopo ragionevole e in accordo con le disposizioni di legge (n. 6),

- in ogni altro caso previsto dalla legge o da regolamenti amministrativi (n. 7).

Stando ai primi commenti della disciplina, il disposto di cui al n. 7 andrebbe interpretato in maniera restrittiva, includendovi solo le leggi emanate dal Congresso Nazionale del Popolo Cinese e dalla Commissione, mentre i regolamenti amministrativi rilevanti sarebbero solo quelli del Consiglio di Stato. In ogni caso, in assenza di indicazioni specifiche, la portata della disposizione rimane incerta, e molto dipenderà dall’interpretazione concreta che ne sarà data.

Parimenti problematica potrebbe rivelarsi l’ipotesi di cui al n. 5 che, sebbene preveda quale limite il perseguimento di uno scopo ragionevole, apre alla possibilità di una forte ingerenza pubblica nel trattamento delle informazioni personali.

La legge individua diverse ipotesi nelle quali, affinchè il trattamento sia lecito, è necessario ottenere il consenso della persona fisica. Oltre a quanto già illustrato in merito al trasferimento delle informazioni ad un diverso gestore, rientrano altresì in questa ipotesi il caso in cui il trattamento abbia ad oggetto informazioni sensibili (nel caso di informazioni relative a minori di 14 anni, il consenso deve essere prestato dal genitore o dal tutore legale) e quello in cui le informazioni debbano essere trasferite all’estero (di cui si dirà più diffusamente di seguito).

6. I diritti delle persone fisiche

Alla persona fisica le cui informazioni personali sono oggetto di trattamento, vengono riconosciuti diversi diritti, a partire dal diritto di ritirare in ogni momento il proprio consenso, secondo modalità semplici stabilite dal gestore delle informazioni. Ricalcando quanto previsto dal GDPR, il fatto che il soggetto ritiri il proprio consenso non pregiudica la validità dei trattamenti posti in essere sino a quel momento ma, al contempo, non può determinare il rifiuto da parte del gestore di fornire il proprio bene o servizio.

Ai sensi dell’art. 17, il gestore dei dati ha l’obbligo di comunicare alla persona fisica, prima che il trattamento abbia inizio (eccetto che, in casi di emergenza, se il trattamento è necessario per la salvaguardia della vita, della salute o della proprietà delle persone fisiche) e in modo veritiero, accurato e completo: a) il nome e i contatti del gestore delle informazioni, b) lo scopo e le modalità del trattamento, c) le categorie di informazioni trattate, d) il periodo di conservazione, e) le modalità di esercizio dei diritti riconosciuti dalla legge. 

Inoltre, qualora vi siano dei cambiamenti riguardanti uno degli elementi sopra elencati, la notizia dev’essere notificata alla persona fisica. L’articolo successivo prevede tuttavia che l’obbligo di fornire tali informazioni viene meno se queste siano qualificate come confidenziali o se, per effetto di legge o regolamenti amministrativi, non debbano essere divulgate. Quest’ultima previsione distingue notevolmente il diritto in esame dal diritto all’accesso riconosciuto all’interessato dall’art. 15 del GDPR, che non prevede alcun tipo di limitazione.

Nel caso in cui il trattamento abbia ad oggetto informazioni sensibili, il gestore dovrà informare gli individui sulla necessità del trattamento e sugli effetti sui diritti e gli interessi di questi ultimi, ad eccezione delle ipotesi in cui la stessa PIPL lo escluda.

Una considerazione simile può essere fatta per ciò che concerne il periodo di conservazione dei dati, da identificarsi, ai sensi dell’art. 19 della PIPL, nel più breve periodo di tempo necessario per la realizzazione dello scopo del trattamento. La norma specifica tuttavia che questa regola viene meno se altrimenti previsto da leggi o regolamenti amministrativi. Anche in questo caso, in mancanza di ulteriori indicazioni, non è chiaro fino a che punto la portata della disposizione possa essere compressa. Si noti che il GDPR ammette la conservazione dei dati per periodi più lunghi solo se trattati esclusivamente a fini di archiviazione per pubblico interesse, ricerca scientifica o storica o a fini statistici.

Fra i diritti riconosciuti dalla PIPL vi è inoltre quello di conoscere e decidere in merito ai trattamenti aventi ad oggetto le proprie informazioni personali, nonché di limitare o rifiutare il trattamento, se non diversamente previsto dalla legge o da regolamenti amministrativi. È previsto altresì il diritto alla portabilità dei dati, esercitabile però solo qualora siano soddisfatte le condizioni sancite dalla amministrazione pubblica (denominata “Cybersecurity State Administration” nelle traduzioni in inglese). 

L’art. 46 disciplina il diritto alla rettificazione dei dati incompleti o inesatti, mentre l’art. 47 dispone che può esserne richiesta la cancellazione nei seguenti casi: (i) nel caso in cui il fine per cui i dati erano stati raccolti è stato raggiunto o sia impossibile da raggiungere o i dati non siano più necessari in tal senso; (ii) quando il gestore delle informazioni non fornisca più il bene o il servizio a cui il trattamento era legato o sia cessato il periodo di conservazione; (iii) nel caso in cui sia stato ritirato il consenso; (iv) quando i dati siano stati trattati in violazione di leggi, regolamenti amministrativi o accordi; e (v) in ogni altra circostanza prevista dalla legge.

Nel caso di decesso della persona interessata, i diritti sanciti dalla PIPL possono essere esercitati dai prossimi congiunti, a meno che il de cuius abbia manifestato una diversa volontà. Si tratta di un profilo non disciplinato dal GDPR bensì, in Italia, dal novellato Codice della privacy (art. 2 terdecies) in termini diversi e comunque più articolati.  

È onere dei gestori delle informazioni prevedere meccanismi opportuni per conoscere e gestire le richieste di esercizio dei diritti da parte degli interessati. Nell’ipotesi in cui tali richieste siano ingiustificatamente rifiutate, gli individui potranno ricorrere giudizialmente. Non sono previsti invece, diversamente da quanto stabilito dal GDPR, meccanismi di reclamo alle autorità competenti (su queste v. infra al par. 10).

7. Le decisioni automatizzate

Le decisioni automatizzate sono definite dall’art. 73 della PIPL come l’utilizzo di programmi del computer per analizzare o valutare il comportamento, le abitudini, gli interessi e gli hobbies, la situazione finanziaria, lo stato di salute, etc, degli individui, al fine di adottare decisioni. Anche sotto questo profilo va evidenziata la differenza con quanto previsto dalla disciplina europea. 

Infatti, mentre ai sensi del GDPR l’interessato ha diritto a non essere soggetto ad una decisione automatizzata che produca effetti giuridici o comunque rilevanti per la sua persona, eccetto che nei casi previsti dalla norma, l’art. 24 della PIPL prevede soltanto che alla persona fisica sia riconosciuto il diritto di chiedere al gestore delle informazioni spiegazioni sulla decisione e di rifiutare che questo assuma decisioni basate esclusivamente su meccanismi decisionali automatizzati. La norma pone inoltre in capo al gestore delle informazioni l’obbligo di garantire la trasparenza, l’equità e la giustizia del processo decisionale, vietando che, sulla base di questo, gli individui possano essere irragionevolmente soggetti a diverse condizioni commerciali (es. prezzi differenziati). L’adozione di decisione automatizzate è inoltre fra le ipotesi che rende necessaria la conduzione di una PIPIA. 

Per ragioni di salvaguardia della sicurezza pubblica e in osservanza di regolamenti statali rilevanti, è poi ammessa la possibilità di installare collettori di immagini o sistemi di riconoscimento negli spazi pubblici. Le informazioni così raccolte potranno essere utilizzate sono per scopi di pubblica sicurezza, a meno che gli individui prestino un consenso specifico. 

8. I trattamenti eseguiti dagli enti statali

La Sezione III del Capitolo II della PIPL è dedicata al trattamento delle informazioni personali da parte degli enti statali. Questi ultimi dovranno trattare le informazioni nei limiti di quanto necessario ad adempiere ai propri doveri e responsabilità, osservando gli obblighi di informazione previsti dalla legge. Tuttavia fanno eccezione le ipotesi in cui ciò impedisca loro di svolgere le proprie funzioni. Le informazioni raccolte dagli enti statali devono essere conservate nel territorio della Repubblica e, qualora ne venga fatta richiesta da parte di autorità estere, il trasferimento è subordinato ad una preventiva valutazione di sicurezza.

9. Il trasferimento di dati all’estero

Grande spazio è poi dedicato al trasferimento dei dati all’estero. Ai sensi dell’art. 38, questo è ammesso qualora ricorra una delle seguenti ipotesi:

- sia stata effettuata dalla Cyberspace State Administration una valutazione di sicurezza ai sensi dell’art. 40 della PIPL;

- sia stata emanata una certificazione sulla base di quanto sancito dalla Cyberspace State Administration;

- debba essere concluso con controparte straniera un contratto standard stipulato sulla base del modello fornito dalla Cyberspace State Administration, e le parti concordino sui rispettivi diritti e responsabilità. Il modello in questione non è però ancora stato elaborato;

- sulla base di altre condizioni previste da leggi o regolamenti amministrativi o dalla Cyberspace State Administration;

- se il trasferimento di dati all’estero è previsto da trattati o accordi internazionali conclusi o sottoscritti dalla Repubblica Popolare Cinese;

- il gestore delle informazioni adotti tutte le misure necessarie a garantire che le informazioni personali siano trattate dal ricevente secondo standard di protezione equiparabili a quelli previsti dalla PIPL.

Con riferimento alla prima ipotesi, la Cyberspace State Administration ha di recente pubblicato una bozza delle linee-guida finalizzate a definire le condizioni in presenza delle quali la valutazione di sicurezza è necessaria ai fini del trasferimento dei dati all’estero.

In particolare, il documento prevede che la richiesta di valutazione debba essere effettuata dal gestore delle informazioni qualora ricorra una delle seguenti ipotesi: (i) le informazioni siano state raccolte e generate da un operatore di infrastrutture di informazioni critiche, (ii) fra i dati oggetto del trasferimento vi sono dati importanti, (iii) i dati sono trattati da un gestore in grado di raggiungere almeno un milione di persone fisiche, (iv) vengono forniti dati che, in aggregato, riguardano più di 100.000 persone o, qualora si tratti di informazioni sensibili, più di 10.000, (v) altre circostanze nelle quali la Cybersecurity State Administratrion ritenga che sia necessario effettuare una valutazione.

Prima del trasferimento, il gestore delle informazioni è inoltre tenuto a svolgere un self-assessement dei potenziali rischi, ponendo particolare attenzione ad alcuni aspetti: (i) la legittimità, la legalità e la necessità dello scopo e delle modalità del trasferimento e del trattamento che dovrebbe porre in essere il destinatario, (ii) la quantità il fine, la tipologia e la delicatezza dei dati sensibili trasferiti all’estero, e i potenziali rischi per la sicurezza nazionale, l’interesse pubblico e la salvaguardia dei diritti e degli interessi degli individui e delle organizzazioni, (iii) se le misure di sicurezza e di gestione dei dati previste al momento del trasferimento siano sufficienti ad arginare tali rischi, (iv) se le responsabilità e gli obblighi del destinatario, congiuntamente alle misure da questo poste in essere per adempiervi, siano sufficienti a garantire la sicurezza delle informazioni, (v) se, a seguito del trasferimento, vi sia il rischio che i dati siano danneggiati, persi o usati in modo improprio o se l’accesso ai mezzi a disposizione degli individui per far valere i propri diritti e interessi sia compromessi, (vi) se il contratto che disciplina i rapporti con il destinatario dei dati sia adeguato ad assicurare il rispetto degli obblighi e delle responsabilità da parte dello stesso. Le linee-guida includono un elenco non esaustivo degli obblighi e delle responsabilità che tale contratto deve imporre in capo al destinatario, riguardanti ad esempio il periodo e il luogo di conservazione dei dati, le restrizioni relative a trasferimenti ulteriori, eventuali misure di sicurezza previste per l’ipotesi in cui vi sia un cambiamento de facto del soggetto a cui spetta il controllo dei dati, il regime di responsabilità per l’ipotesi di violazione degli obblighi contrattuali.

In merito al punto (ii) le linee-guida specificano inoltre alcuni elementi che il gestore del trattamento deve tenere in considerazione nel corso della propria valutazione, includendovi, oltre che la legittimità e la necessità dello scopo e delle modalità del trasferimento e i rischi specifici per le informazioni sensibili, anche se le leggi sulla pubblica sicurezza vigenti nel territorio in cui opera il destinatario del trattamento garantiscano un livello di protezione adeguato e coincidente a quello previsto dalle leggi e dai regolamenti cinesi. In generale, dovrà essere valutato il livello di compliance alle leggi e ai regolamenti cinesi, fermo restando che la Cybersecurity State Administration può indicare fattori di valutazione ulteriori.

La valutazione sarà valida per un periodo di due anni dal momento in cui è stata svolta.

Il gestore delle informazioni è tenuto a notificare alla persona fisica il nome e i contatti del ricevente, congiuntamente allo scopo e alle modalità del trattamento, le categorie di informazioni trattate e le modalità di esercizio dei diritti riconosciuti.

La valutazione di sicurezza a cui fa riferimento l’art. 38 n. 1 dovrà essere effettuata qualora la richiesta di trasferimento delle informazioni all’estero sia rivolta ad operatori che trattano informazioni critiche o che riguardano un ampio numero di persone. Qualora la richiesta di informazioni pervenga da autorità giudiziarie estere, le autorità competenti cinesi possono gestire tali richieste, se ciò è previsto da trattati e accordi internazionali, e hanno il potere di autorizzare i gestori dei dati a negare le informazioni richieste. Ulteriori limitazioni alla trasmissione di informazioni ad organizzazioni o individui all’estero possono essere disposte dall’amministrazione statale per il cyberspazio nell’ipotesi in cui i trattamenti da questi posti in essere determinino una violazione dei diritti e degli interessi dei cittadini della Repubblica Cinese o un danno alla sicurezza statale o all’interesse pubblico. La Repubblica si riserva altresì il potere di adottare misure di ritorsione nei confronti di Paesi o Regioni che dispongano misure discriminatorie o simili nei propri confronti, relativamente al settore della protezione delle informazioni personali.

10. Le autorità competenti per la protezione delle informazioni personali

A differenza di quanto avviene nell’ordinamento europeo, la PIPL non impone la creazione di un’autorità indipendente a cui affidare le questioni relative alla protezione dei dati personali, ma i compiti e i poteri previsti dalla legge sono attribuiti a diversi organi dello Stato: la Cyberspace State Administration, le altre autorità rilevanti operanti sotto il controllo del Council of State, ma solo nei limiti dei propri doveri e responsabilità, e comunque nel rispetto di quanto stabilito dalla legge in esame, dalle altre leggi cinesi e dai regolamenti amministrativi.

Tutti questi organismi sono collettivamente qualificati come ‘autorità competenti in materia di protezione delle informazioni personali’ e pertanto chiamate, nell’ambito delle rispettive competenze, a: a) promuovere la consapevolezza e l’educazione in materia di informazioni personali, guidando e supervisionando l’attività svolta dai gestori; b) accogliere e risolvere i reclami e le questioni poste in materia di protezione delle informazioni personali; c) valutare la situazione della protezione delle informazioni personali e divulgare i relativi risultati; d) indagare e perseguire le attività illegali di trattamento delle informazioni personali; e) adempiere ad altri doveri previsti dalle leggi o dai regolamenti amministrativi.

All’amministrazione statale per il cyberspazio è riconosciuto un ruolo di coordinamento e organizzazione delle diverse autorità, che potrà esplicarsi ad esempio nella formulazione di regole e standard in materia, anche relative a determinati specifici ambiti (es. impiego di nuove tecnologie, AI, etc.) o nel contribuire al miglioramento dei meccanismi di reclamo.

Nell’esercizio dei propri poteri, le autorità competenti possono esercitare diversi poteri d’indagine, quali ad esempio la possibilità di ascoltare le parti coinvolte, consultare tutti i materiali rilevanti nelle attività di protezione dei dati personali, svolgere indagini in loco.

La legge si chiude con le previsioni relative alle sanzioni pecuniarie previste nel caso di violazione della disciplina, calcolate in percentuale al fatturato della società in riferimento all’anno precedente.

11. Conclusioni

In conclusione, la PIPL rappresenta senz’altro una novità significativa per la tutela dei dati personali in Cina, e si può rilevare come essa sia stata influenzata in qualche misura dalla disciplina europea dei dati personali. Sarà ora di grande interesse esaminare l’applicazione pratica della nuova normativa.