Il GDPR e il PIPL: similitudini e differenze

Il PIPL è la prima legge cinese sulla protezione delle informazioni personali ed è entrata in vigore lo scorso 1° novembre 2021. È la prima legge in Cina a completare il quadro della protezione dei dati personali

di Carlo Impalà*

14 Giugno 2023

Il PIPL è la prima legge cinese sulla protezione delle informazioni personali ed è entrata in vigore lo scorso 1° novembre 2021. È la prima legge in Cina a completare il quadro della protezione dei dati personali. Altre leggi di riferimento sono la Cybersecurity Law entrata in vigore il 1° giugno 2017, la Data Security Law entrata in vigore il 1° settembre 2021, nonché tutti gli altri regolamenti e provvedimenti del Cyberspace Administration of China ("CAC").

Da un'analisi del testo normativo del PIPL si può notare certamente l'influenza del GDPR.

Nonostante il PIPL e il GDPR si somiglino in vari aspetti, si possono tuttavia riscontrare diverse disposizioni e obblighi che divergono dal Regolamento UE 2016/679 ("GDPR").

Ambito di applicazione della normativa

Analogamente a quanto previsto dal GDPR, il PIPL, all'art. 3, par. 2, estende il proprio ambito di applicazione anche al trattamento di dati personali effettuato extra territorialmente, a condizione che lo scopo del trattamento sia rivolto a persone fisiche situate nel territorio cinese, al fine di: a.fornire loro prodotti o servizi;

b. analizzare o valutare il loro comportamento; o

c. negli altri casi stabiliti da leggi o regolamenti amministrativi cinesi.

L'ambito di applicazione della legge cinese sembra ispirarsi al GDPR in quanto si applica a livello extraterritoriale alle aziende che offrono beni o servizi o monitorano i comportamenti degli interessati. L'ambito generale del PIPL, tuttavia, può essere più ampio poiché tale legge fornisce un'ampia discrezionalità alle autorità di regolamentazione cinesi per prescrivere ulteriori circostanze in cui essa è applicabile.

Una evidente influenza del GDPR si nota, inoltre, nell'obbligo per le imprese con sede al di fuori dalla Cina di nominare un rappresentante o di stabilire un ente nel territorio per assumersi la responsabilità nei confronti delle autorità cinesi laddove a tali imprese si applichi il PIPL per attività extraterritoriali.

Trasferimenti di dati verso paesi esteri

Anche il PIPL, come il GDPR, pone delle restrizioni ai trasferimenti transfrontalieri di dati personali. Pertanto, un'azienda che intende trasferire dati personali al di fuori del territorio cinese può farlo solo se, oltre ad aver ottenuto un consenso separato e informato da parte dell'interessato e aver svolto preventivamente una Personal Information Protection Impact Assessment ("PIPIA"), adotta uno dei seguenti meccanismi:

1. superamento di un security assessment condotto dal CAC;

2. ottenimento di una certificazione rilasciata da parte di un ente terzo;

3. stipulazione di uno standard contract, il cui testo è stato pubblicato dal CAC;

4. altre condizioni previste da altre leggi o regolamenti speciali.

Il meccanismo che l'azienda dovrà adottare va individuato in base a specifiche condizioni, quali i dati personali trattati o trasferiti (dati importanti, dati comuni o sensibili da trasferire o trattati) e/o al tipo di società (ad es. in caso di operatori di infrastrutture informatiche critiche).

In particolare, il security assessment condotto dal CAC deve essere richiesto da (i) titolari del trattamento che trasferiscono dati importanti; (ii) operatori di infrastrutture informatiche critiche o titolari del trattamento che trattano dati personali relativi a più di 1 milione di interessati; (iii) titolari del trattamento che, dal primo gennaio dell'anno precedente, abbiano effettuato trasferimenti all'estero di dati personali comuni relativi a più di 100 mila interessati o dati personali sensibili relativi a più di 10 mila interessati; o (iv) altre circostanze previste da normative di settore.

Il security assessment viene condotto dall'autorità cinese che si occupa principalmente di regolare le attività online: il CAC.

La procedura si divide nelle seguenti fasi:

i. svolgimento di un self-assessment da parte del titolare del trattamento;

ii. presentazione della domanda presso il Cybespace Administration locale ("CA locale");

iii. accettazione o rifiuto da parte del CA locale della domanda, a seguito di una verifica preliminare della documentazione depositata;

iv. in caso di accettazione, inoltro al CAC della documentazione;

v. svolgimento di un security assessment da parte del CAC;

vi. eventuale richiesta di integrazione/correzione della documentazione;

vii. completamento della procedura con notifica dell'esito alla società richiedente.

L'approvazione da parte del CAC è valida per 2 anni e può essere rinnovata, previo deposito di una nuova domanda, entro uno specifico termine.

Nel caso in cui non sussistano tali condizioni, il titolare del trattamento può stipulare uno standard contract.

Il titolare del trattamento, prima di sottoscrivere uno standard contract con il destinatario estero dei dati, è tenuto a svolgere una PIPIA, tenendo in considerazione diversi elementi previsti dalla normativa. La valutazione deve essere accompagnata da un report, il quale deve essere conservato per almeno 3 anni. Dopo aver sottoscritto lo standard contract, il quale può contenere clausole aggiuntive, ma non contrastanti con il corpo principale, il titolare del trattamento deve depositare la documentazione (il report e il contratto) presso il CA locale, entro 10 giorni lavorativi dalla data di efficacia del contratto stesso.

Inoltre, nel caso in cui si tratti di titolari del trattamento che trasferiscono dati personali al di fuori del territorio cinese, ma all'interno del gruppo di cui fanno parte (i.e. branch o subsidiaries) o nel caso di soggetti a cui si applica il PIPL ai sensi dell'art. 3, par. 2, questi possono richiedere il rilascio di una certificazione da parte di un ente terzo.

Allo stato attuale risulta essere stato individuato soltanto un ente certificatore: il China Cybersecurity Review Technology and Certification Center ("CCRC").

Per l'ottenimento della certificazione, la normativa prevede i seguenti step:

i. adozione di specifiche misure (ad esempio misure organizzative interne, nomina di un responsabile per la protezione dei dati con esperienze tecniche e gestionali e valutazione dei rischi) e presentazione della documentazione (ad esempio il contratto stipulato con il destinatario dei dati o altra documentazione indicata dall'ente) all'ente certificatore da parte del titolare del trattamento;

ii. disamina della documentazione presentata e riscontro al titolare;

iii. verifiche tecniche da parte dell'ente (anche mediante terzi) e predisposizione e invio di un report di verifica tecnica;

iv. visite in loco da parte dell'ente certificatore e predisposizione di un report;

v. valutazione da parte dell'ente sulla base della documentazione raccolta e di tutti i report predisposti, con notifica dell'esito alla società richiedente. In caso di esito positivo, l'ente rilascia la certificazione, in caso contrario può chiedere al titolare del trattamento delle modifiche e/o integrazioni.

La certificazione, salvo il caso di revoca, è valida per 3 anni e può essere rinnovata.Come si potrà notare, rispetto al GDPR, la legge cinese concede un'ampia discrezionalità agli organi amministrativi per regolamentare e autorizzare (o limitare) i trasferimenti internazionali di dati.

Conclusioni

Il PIPL è, per molti versi, simile alla disciplina prevista dal GDPR. Pertanto, le multinazionali già conformi al GDPR avranno meno difficoltà ad adeguarsi rispetto alle PMI che operano per lo più a livello nazionale.

Tuttavia, a differenza del GDPR, il PIPL offre ampia discrezionalità al governo e agli enti amministrativi in merito ai dati personali e alla promozione degli interessi di sicurezza nazionale, prevedendo che questi possano ostacolare il trasferimento dei dati al di fuori della Cina.

Ad ogni modo, risulta necessario porre attenzione a tale normativa, poiché come il GDPR, in caso di violazioni vengono previste delle sanzioni (pecuniarie e non), le quali possono essere comminate non soltanto ai titolari del trattamento, ma anche ai dirigenti e al personale responsabile.

a cura dell'Avv. Carlo Impalà, Partner di Morri Rossetti e Responsabile del Dipartimento TMT e Data Protection

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più

Gli ultimi contenuti di Professione e Mercato

16 Luglio 2024
La nuova frontiera del diritto Tributario, il Marketing Legale Tributario
di Guerrino Petillo*
16 Luglio 2024
BonelliErede e Orrick per il round di finanziamento Series B in Exein
16 Luglio 2024
WFW assiste Belenergia in un aumento di capitale da 190 milioni
16 Luglio 2024
Tribunale Unificato dei Brevetti: Italia al centro del contenzioso brevettuale europeo
16 Luglio 2024
A&O Shearman e Simmons & Simmons nel nuovo bond da 500 milioni di euro di Leasys

Il GDPR e il PIPL: similitudini e differenze

Il PIPL è la prima legge cinese sulla protezione delle informazioni personali ed è entrata in vigore lo scorso 1° novembre 2021. È la prima legge in Cina a completare il quadro della protezione dei dati personali

Gli ultimi contenuti di Professione e Mercato

La nuova frontiera del diritto Tributario, il Marketing Legale Tributario

BonelliErede e Orrick per il round di finanziamento Series B in Exein

WFW assiste Belenergia in un aumento di capitale da 190 milioni

Tribunale Unificato dei Brevetti: Italia al centro del contenzioso brevettuale europeo

A&O Shearman e Simmons & Simmons nel nuovo bond da 500 milioni di euro di Leasys