22 Set ll 1° novembre entra in vigore la Legge sulla Privacy cinese, la “China Personal Information Protection Law” denominata anche “China PIPL”
La tanto attesa Legge sulla protezione delle informazioni personali della Repubblica popolare cinese (ordine del presidente n. 91) (PIPL) è stata finalmente approvata alla 30a riunione del Comitato permanente del 13 ° Congresso nazionale del popolo della Repubblica popolare cinese il 20 agosto 2021. Come già enunciato, entrerà in vigore il 1° novembre 2021.
La China PIPL segna l’introduzione di un sistema completo per la protezione delle informazioni personali in Cina che non si limita a incorporare o sostituire regole già sancite in altre leggi cinesi, ma trae anche ispirazione dal GDPR dell’UE.
La nuova regolamentazione cinese si inserisce in un quadro normativo composto da altre due leggi: la Cybersecurity Law emanata nel 2017 e la Data Security Law entrata in vigore il primo settembre del 2021.
La China Personal Information Protection Law è composta da 74 articoli in 8 capitoli, vale a dire:
- Disposizioni generali;
- Regole sul trattamento delle informazioni personali;
- Regole per la fornitura transfrontaliera di informazioni personali;
- Diritti degli individui nelle attività di trattamento delle informazioni personali;
- Obblighi dei responsabili del trattamento delle informazioni personali;
- Dipartimenti che svolgono funzioni di protezione delle informazioni personali;
- Responsabilità legali; e
- Disposizioni varie.
Le società che gestiscono dati di cittadini cinesi, incluse quelle basate fuori dalla Cina, avranno solo due mesi per adeguarsi alla nuova normativa.
Quali impatti avrà la legge sulla privacy cinese sulle imprese?
La China PIPL avrà un forte impatto sulle imprese a causa del suo effetto extraterritoriale e si applicherà alle seguenti attività di trattamento:
- trattamento, in Cina, di informazioni personali di persone fisiche;
- trattamento, al di fuori della Cina, di informazioni personali di persone fisiche che si trovano in Cina, se tale trattamento è:
- allo scopo di fornire prodotti o servizi a persone fisiche in Cina;
- analizzare/valutare il comportamento delle persone fisiche in Cina; o
- altre circostanze previste da leggi e regolamenti amministrativi.
Se una società estera dislocata al di fuori del territorio cinese (ad es. un’impresa italiana che opera in Cina) svolge attività di elaborazione dati secondo la casistica 2 succitata, il PIPL richiede che venga costituita un’agenzia speciale o designato un rappresentante all’interno del territorio cinese e riporti il nome e i dettagli di contatto di tale istituto o rappresentante presso le autorità cinesi (art. 53 PIPL). È quindi importante prevedere una formazione regolare su sicurezza e privacy per tutto il personale autorizzato al trattamento di dati personali.
Quali azioni dovranno essere intraprese dalle imprese italiane?
Il caso pratico che riportiamo è quello di una impresa italiana che opera sul territorio cinese (ad es. in presenza di un impianto produttivo in Cina). Stando a quanto definito dal PIPL la condivisione dei dati personali o ancora l’accesso da remoto ai dati personali tra sede principale (headquarter) Italiana e la sede (o plant) in Cina costituisce un trasferimento di dati personali.
In linea generale quindi, una Società che prevede di trasferire informazioni personali a società / entità al di fuori della Cina è tenuta a:
- fornire agli interessati determinate informazioni specifiche (ad es. nome, dettagli di contatto – destinatario dei dati, scopo del trattamento, metodi di trattamento, tipi di informazioni personali e procedure con cui l’interessato potrà esercitare i suoi diritti ai sensi della China PIPL) e ottenere il consenso dell’interessato (articolo 39 PIPL);
- adottare le misure necessarie per garantire che i destinatari all’estero possano fornire lo stesso livello di protezione richiesto ai sensi del PIPL (articolo 38 PIPL);
- effettuare una valutazione d’impatto preventiva sulla protezione delle informazioni personali (articolo 55 PIPL).
Inoltre, l’Art. 55 del PIPL impone agli enti che trattano le informazioni personali di effettuare opportune valutazioni d’impatto preliminari sulla protezione delle informazioni personali e di conservare i registri del trattamento per almeno tre anni per le seguenti attività di trattamento:
- gestione di informazioni personali sensibili.
- utilizzo delle informazioni personali per il processo decisionale automatizzato.
- affidare il trattamento delle informazioni personali, fornire informazioni personali ad altri responsabili del trattamento delle informazioni personali e divulgare informazioni personali.
- Trasferimento di dati personali all’estero.
- Altre attività di trattamento delle informazioni personali che possono avere un impatto significativo sui diritti e sugli interessi delle persone.
Per maggiori informazioni potete contattarci al numero 011.5534737 oppure via e-mail info@tutelaprivacy.com