Cina: nuovi obblighi, sanzioni e responsabilità con la normativa sulla protezione dei dati personali
Su chi tratta fuori dalla Cina dati personali di persone fisiche in Cina grava l'obbligo di istituire uno stabilimento in Cina o, in alternativa, di designare un rappresentante, segnalando il nome e le informazioni di contatto alle autorità competenti
Nel paese più connesso al mondo, il 1° novembre 2021, è entrata in vigore la prima legge cinese sulla protezione dei dati personali (la PIPL, Personal Information Protecion Law).
Essa ha il pregio di aver ricondotto ‘a sistema' il fitto groviglio di norme e standard cinesi in materia di protezione delle informazioni personali (la quale costituisce un'arteria del più ampio sistema della sicurezza informatica) creando un quadro unitario e coerente.
La legge consta di 74 articoli e 8 capitoli: disposizioni generali, regole sul trattamento delle informazioni personali, regole per la fornitura extra-territoriale delle informazioni personali, diritti dell'interessato, obblighi per i titolari e per i responsabili del trattamento, obblighi e responsabilità per le amministrazioni, regime sanzionatorio e disposizioni finali.Seppur connotato da elementi di novità, l'impianto regolatorio e non poche disposizioni ricalcano in gran parte quelle del Regolamento Generale sulla Protezione dei Dati dell'Unione Europea 2016/679 (il GDPR, General Data Protection Regulation).
Tra gli elementi di assonanza con il GDPR segnaliamo: la bipartizione tra titolare e responsabile nell'iter di trattamento, l'extra-territorialità della legge, la previsione di restrizioni sul trasferimento dei dati, la previsione di obblighi di conformità e sanzioni, le definizioni di «informazioni personali» e di «trattamento delle informazioni personali», il ruolo del consenso dell'interessato come architrave del sistema del trattamento (il quale deve essere, in entrambe le normative europea e cinese sempre informato e libero).
Con riferimento al perimetro della legge, si prevede che essa si applicherà, in via generale, a tutte le attività di trattamento di dati personali delle persone fisiche aventi luogo all'interno della Repubblica Popolare Cinese. Inoltre, essa si applicherà anche alle attività di trattamento svolte al di fuori dei confini cinesi se tale attività: è svolta al fine di fornire prodotti o servizi a cittadini cinesi o al fine di analizzare i loro comportamenti o negli altri casi espressamente previsti dalle leggi o dai regolamenti amministrativi (articolo 3).
Su chi tratta fuori dalla Cina dati personali di persone fisiche in Cina grava l'obbligo di istituire uno stabilimento in Cina o, in alternativa, di designare un rappresentante, segnalando il nome e le informazioni di contatto alle autorità competenti (articolo 53).
Da segnalare la possibilità per le autorità di chiedere chiarimenti, investigare, condurre ispezioni in loco, analizzare apparecchiature e anche attività di auditing, di ordinare la correzione, e di confisca dei proventi illeciti e di ordinare la sospensione o la cessazione dell'attività che comporta il trattamento illecito delle informazioni personali.
Quanto ai profili sanzionatori, si prevede la possibilità di irrogare sanzioni che vanno da 1 milione di yuan (circa 138.000 euro) fino a 50 milioni di yuan (circa 7.000.000 euro) o pari al 5% del fatturato annuale della società, ma anche la revoca dei permessi o delle licenze amministrative. Alle persone direttamente responsabili, è possibile vietare di ricoprire posizioni apicali nella società per un certo periodo.
In caso di condotte illecite, i responsabili (persone fisiche e giuridiche) saranno inseriti in un'apposita black list.
*di Corrado Moriconi, Avvocato presso C-Lex Studio Legale e Assegnista presso Sapienza Università di Roma
