LA NUOVA LEGGE SULLA PRIVACY DELLA REPUBBLICA POPOLARE CINESE ISPIRATA AL GDPR

di Marco Martorana

Stampa la pagina
foto

La protezione dei dati in Cina desta da sempre numerose preoccupazioni, anche in virtù del peso di questo Paese nello sviluppo tecnologico globale. Ma le cose potrebbero cambiare presto con l’approvazione della Legge sulla protezione delle informazioni personali (PIPL) avvenuta il 20 agosto scorso ad opera del Comitato Permanente della 13° Assemblea Nazionale del Popolo, massimo organo legislativo cinese.

Si tratta di una normativa che entrerà in vigore dal prossimo 1° novembre e che mira a ridurre e regolamentare la raccolta dei dati personali dei cittadini, riconoscendo loro una tutela più solida nei confronti delle aziende sulla scia del Regolamento UE 2016/679 (GDPR) dal quale trae forte ispirazione. 

Cosa prevede la nuova legge e in che modo si ispira al nostro GDPR?

La nuova legge cinese, 70 articoli in tutto, adotta la definizione di “dato personale” in termini di identificazione o identificabilità del soggetto e tratta numerosi principi cardine del GDPR come la trasparenza, la correttezza, la limitazione delle finalità, la minimizzazione, la conservazione limitata, l’accuratezza dei dati e la responsabilizzazione.

Il primo elemento da cui partire è la rilevanza del consenso informato degli interessati. Con la nuova normativa, le aziende cinesi saranno tenute ad ottenere la manifestazione di volontà positiva dell’utente per erogare i servizi offerti.

Il consenso deve essere chiaro ed espresso liberamente così da consentire la massima trasparenza e facoltà di scelta per i cittadini.

Inoltre, la nuova normativa attribuisce una certa importanza anche ai paletti da fissare per ogni attività. Secondo le nuove regole, il trattamento dei dati dovrà essere limitato al minimo indispensabile per il conseguimento delle finalità e controllato con una serie di adempimenti, con l’obbligo di cancellare le informazioni una volta venute meno le basi legali per la loro utilizzazione e conservazione.

Ad ogni modo, l’interessato potrà beneficiare del diritto di accesso, in virtù del quale lo stesso potrà ottenere dal titolare tutte le informazioni che lo riguardano e che siano oggetto di trattamento, potendo chiedere l’interruzione o la limitazione. 

Inoltre, anche in Cina sarà previsto che ogni azienda pubblica incarichi un responsabile del trattamento dei dati.

Quanto alle sanzioni, queste possono diventare molto gravose per i trasgressori, che andranno incontro a multe fino al 5% del fatturato annuo, la sospensione della licenza commerciale o addirittura la chiusura. Un occhio è indirettamente rivolto anche agli Stati Uniti: la nuova legge prevede che le società attive in Cina non possano scambiare informazioni sui profili dei loro utenti con le aziende collocate in Paesi dove gli standard sulla protezione dei dati personali siano meno stringenti. 

È un aspetto che potrebbe creare qualche problema nelle relazioni con gli USA, dove non esiste -per ora- una legge federale unitaria sulla protezione dei dati. 

Non sono però solo le similitudini ad emergere dalla normativa. 

Secondo la PIPL, infatti, i c.d. “dati particolari” si riferiscono -come nel GDPR- alle informazioni personali che possono causare discriminazione, come le informazioni su razza, etnia, credenze religiose, dati biometrici.

Tuttavia, la categoria “dati particolari” presente nella legge cinese è più ampia rispetto a quella europea: ricomprende anche le informazioni sulla posizione, le operazioni finanziarie, i conti bancari o il numero di cellulare, escluse dalla definizione adottata dal nostro Regolamento. Resta poi da vedere, ad esempio, come le restrizioni previste per il trattamento di questa categoria di dati si applicheranno nelle città cinesi disseminate di telecamere per il riconoscimento facciale, che raccolgono quotidianamente dati biometrici.

Insomma, la Repubblica Popolare ha intrapreso la strada della tutela dei dati personali incentrata sull’individuo, quella via che ha fatto la fortuna del GDPR e che se confermata potrebbe cambiare il modo di concepire la privacy nella Repubblica Popolare, con buona pace delle Big Tech del Paese che dovranno iniziare ad adeguarsi

Altri in DIRITTO

Potrebbe interessarti anche

  • GDPR - Il nuovo regolamento generale sulla protezione dei dati UE 2016/679

    Da venerdì 25 maggio 2018 si applicherà definitivamente, in tutti gli Stati membri dell’Unione Europea, il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (di seguito “Regolamento” o “GDPR” - General Data Protection Regulation) che disciplina l’attività di trattamento dei dati e la loro...

    Fabrizio Richard