Difficile capire se l’adeguamento privacy cinese contenuto all’interno del nuovo regolamento per il trattamento e la gestione dei dati personali sia un tentativo di rispondere all’evoluzione della società o al regolamento europeo.
Così come ogni generazione è convinta di essere migliore rispetto a quella precedente, anche il PIPL (Personal Information Protection Laws) cinese nasce con la convinzione di perfezionare il GDPR (General Data Protection Regulation) europeo.
Ma esattamente come qualsiasi viaggiatore che arrivato in una nuova città trova involontariamente una parte di sé stesso che non pensava di avere, anche il regolamento cinese, pur discostandosi in alcuni aspetti, conserva numerose analogie con quello europeo.
GDPR vs PIPL: cosa hanno in comune
- Innanzitutto lo scopo e la natura per cui nascono entrambe: norme che hanno a cuore la tutela della persona fisica e delle attività di trattamento dei dati di questi soggetti;
- Sia il General Data Protection Regulation, sia il Personal Information Protection Laws hanno valenza al di fuori dei confini di giurisdizione e prevedono applicazione extraterritoriale;
- I due regolamente prevedono la stesura obbligatoria di un’informativa specifica connessa alle attività di trattamento dei dati personali;
- Come qualsiasi regolamento che si rispetti, anche GDPR e PIPL prevedono sanzioni pecuniarie in caso di violazione dei principi indicati;
- Entrambi i regolamenti hanno come punto cardine la formazione dei dipendenti in ambito privacy per prevenire ed eventualmente saper curare;
- Il regolamento cinese e quello europeo impongono la nomina di una figura di riferimento in materia di Data Protection;
- GDPR e PIPL richiedono valutazioni di impatto (DPIA) sulla protezione dei dati in determinate situazioni.
Le principali differenze tra PIPL e GDPR
- Il responsabile del trattamento del PIPL è una figura decisamente più ampia rispetto al responsabile definito dal GDPR;
- Mentre nel regolamento europeo i dati finanziari sono classificati come dati comuni, in quello cinese gli stessi sono categorizzati come dati particolari;
- Il Personal Information Protection Laws presta molta più attenzione del General Data Protection Regulation al trasferimento dei dati personali all’estero, illustrando tutti gli adempimenti necessari e imponendo la nomina di un rappresentante in Cina per i gestori di dati stranieri;
- Rispetto al GDPR, il PIPL prevede prescrizioni molto più stringenti e difficili da ottenere;
- Le 72 ore concesse dal regolamento europeo per la notifica di violazione, sono azzerate da quello cinese che impone la notifica immediata;
- Il regolamento cinese, a differenza di quello europeo, persegue anche le persone fisiche che ricoprono ruoli di vertice in organizzazioni responsabili delle violazioni;
- Il regolamento europeo, a differenza di quello cinese, riconosce il legittimo interesse come base giuridica per il trattamento e la gestione dei dati personali;
- La figura di riferimento in materia di Data Protection, indicata come analogia nel capitolo precedente, nasconde una differenza sostanziale: nel PIPL questo soggetto non deve necessariamente possedere particolari competenze tecniche.