Data Protection e Cyber Security: sempre più fattori chiavi per il business plan degli operatori internazionali
Nel quadro normativo cinese, a tali norme: ("Cyberscurity Law, CSL") adottato nel 2017, alla protezione dei dati personali ["Personal Information Protection Law - PIPL"] ed alla sicurezza dei dati ("Data Security Law", DSL), si aggiunge un nutrito corpo di norme speciali, di carattere regolamentare, dedicate a settori industriali, quali le "App Rules"
È del mese di agosto la notizia, apparsa sulla stampa, che uno dei principali studi legali internazionali abbia chiuso i rapporti con la sede in Cina: alla base di tale decisione ci sarebbe la valutazione del rischio connesso alla gestione dei dati, in vista di nuove norme sulla protezione dei dati personali e la sicurezza informatica che presto dovrebbero entrare in vigore in Cina.
Tale vicenda impone alcune riflessioni, considerato che la scelta dello Studio legale Dentons, già attuata in passato da note aziende multinazionali, investe la realtà di uno studio legale internazionale.
La legislazione cinese, che ha avuto un forte impulso negli ultimi anni, prevede norme dedicate alla privacy già all'interno del Codice civile cinese, entrato in vigore il primo gennaio 2021, cui si aggiungono atti legislativi dedicati alla sicurezza informatica ("Cyberscurity Law, CSL") adottato nel 2017, alla protezione dei dati personali ["Personal Information Protection Law - PIPL"] ed alla sicurezza dei dati ("Data Security Law", DSL), adottate nel 2021 e con impatto extraterritoriale, disponendo in merito all'elaborazione dei dati e alle attività di gestione condotte sia all'interno della Cina sia al di fuori della Cina, se aventi impatto nel territorio cinese.
Nel quadro normativo cinese, a tali norme, si aggiunge un nutrito corpo di norme speciali, di carattere regolamentare, dedicate a settori industriali, quali le "App Rules".
Proprio in relazione ai sistemi digitali, alle app mobili ed ai sistemi di intelligenza artificiale sono state emanate dalle autorità governative cinesi nuove disposizioni normativo di carattere restrittivo, cui gli operatori cinesi dovranno adeguarsi entro il 2024.
In particolare, secondo tali disposizioni, tutti gli sviluppatori locali e le società impegnate nei servizi di informazione su Internet dovranno presentare alle autorità governative la documentazione sulla loro attività ai fini dell'approvazione delle autorità governative.
Tali previsioni si aggiungono a quelle che hanno imposto ai titolari del trattamento con sedi in Cina, o comunque con attività aventi impatto nel territorio cinese di ottenere un'approvazione delle autorità governative anche per determinati trasferimenti di dati entro il mese di marzo 2023.
In relazione a quanto sopra si può osservare che l'ordinamento cinese, pur avendo recepito nella normativa per la protezione dei dati personali adottata l'impianto previsto dal GDPR nello Spazio Economico Europeo nei suoi principi cardine di protezione dei diritti delle persone fisiche e della regolamentazione delle attività di trattamento dei dati personali, ha contemplato un serrato sistema di autorizzazioni governative ignoto alla normativa dell'UE.Il sistema autorizzativo cinese si regge, in particolare, su rigorose valutazioni di sicurezza dei sistemi informatici e su compiute istruttorie in merito al rispetto, da parte delle aziende, di importatori e di esportatori, di requisiti di legge e di aspetti tecnici informatici a presidio della sicurezza nazionale cinese.
A fronte del mancato rispetto delle normative vigenti sono previste gravi sanzioni, non solo di carattere pecuniario ma anche interdittivo (i.e., sequestro e blocco dei sistemi informatici) ferma restando, come nel nostro ordinamento, la rilevanza penale di talune condotte.
Quindi, la recente esperienza dello studio legale internazionale conferma che l'emanazione nel panorama internazionale delle norme di Privacy e Data Protection, unitamente alle normative dedicate ai servizi digitali ed all'intelligenza artificiale, daranno vita ad un nuovo lay out di mercato che deve essere monitorato dagli operatori internazionali al fine di indirizzare le proprie attività.
Anche gli studi professionali di respiro internazionale, pertanto, dovranno provvedere in modo puntuale ad effettuare audit di verifica degli adempimenti ed obblighi applicabili quali fattori chiave del business plan; all'ordine del giorno dovranno essere poste le valutazioni in relazione alla circolazione dei dati ed alle misure di conformità di volta in volta richieste ed implementate, con grande attenzione alle normative dei Paesi convolti dall'erogazione di servizi.
Un limite, forse, ma anche un notevole fattore di sicurezza e competitività.
* di Avv. Giovanna Boschetti, Counsel, CBA
Corrado Moriconi*
Norme & Tributi Plus DirittoEnrico Netti
Il Sole 24 Ore
