PIPL: La nuova legge cinese sulla privacy

PIPL: La nuova legge cinese sulla privacy

La globalizzazione impone adattamenti generalizzati e rapidi, soprattutto in tema privacy.
“Ogni mondo è paese” direbbe qualcuno, calzando alla perfezione la situazione in Cina.

Dopo l’avvento del nuovo regolamento per la protezione dei dati personali (GDPR) che ha disciplinato l’ambito privacy in Europa, ecco che anche la Cina si adegua all’innovazione tecnologica correndo ai ripari in termini giuridici.

Alla scoperta della PIPL (Personal Information Protection Laws)

Il Personal Information Protection Laws (PIPL) è il nuovo regolamento per la protezione dei dati personali cinese.

Questo testo legifera sia all’interno del territorio cinese (su soggetti, organizzazioni e aziende cinesi e non), sia fuori dalla Cina qualora le finalità del trattamento o il comportamento analizzato sia in Cina.

Trasferimento dei dati all’estero

Il trasferimento dei dati personali al di fuori dei confini è reso possibile solo tramite consenso, dopo una valutazione di impatto e in uno di questi 4 casi:

  • Superamento di un security assessment effettuato dal dipartimento statale per il Cyberspazio (State Cyberspace Administration).

  • Ottenimento di una certificazione di protezione delle informazioni personali, anche se attualmente il testo normativo non specifica come ottenere tale certificazione;

  • Conclusione di un contratto con il destinatario in conformità con il contratto standard formulato dal dipartimento statale per il Cyberspazio e l’informatizzazione. Anche in questo caso al momento non risulta fornito lo standard, ma ci si aspetta che venga reso disponibile a breve e dovrebbe essere simile alle clausole contrattuali tipo (SCCs);

  • Soddisfacimento di altre condizioni prescritte da leggi, regolamenti amministrativi o dal dipartimento statale per il cyberspazio e l’informatizzazione.

Inoltre la PIPL stabilisce una gerarchia ben definita: i dati conservati in Cina non devono obbligatoriamente essere forniti ad autorità giudiziarie e di polizia estere senza approvazione dell’autorità Cinese.

I principi e le base giuridiche del PIPL

Le fondamenta su cui nasce il PIPL sono trasparenza, liceità, buona fede, necessità e minimizzazione: tante caratteristiche simili al GDPR, ma come vedremo in un altro post, differenti interpretazioni.

  • La trasparenza comporta la necessità di informare gli interessati sulle modalità di trattamento dei dati personali, con modalità concise, facilmente accessibili, facili da capire e in un linguaggio chiaro e semplice;
  • La liceità del trattamento è esplicitata nell’articolo 5 e richiede che le informazioni personali soddisfino le condizioni previste dalla legge.
    Precedentemente la normativa cinese basava la liceità del trattamento principalmente sul consenso;

  • Il principio di necessità è generalmente applicabile a tutte le attività di trattamento, mentre il principio di minimizzazione dei dati si applica specificamente alla raccolta di dati personali.

Esistono situazioni particolari in cui vanno applicati differenti basi giuridiche per il trattamento dei dati personali cinesi come la richiesta del consenso separato o il trattamento di dati di minorenni. Ecco alcuni dei principali esempi di queste situazioni:

  • La conclusione di un contratto con interessati;

  • L’adempimento di obblighi stabiliti dalla legge;

  • La risposta a un’emergenza sanitaria pubblica oppure l’applicazione di attività emergenziali per proteggere la vita o tutelare la salute;

  • In occasione di cronaca di pubblico interesse;

  • Il trattamento di informazioni rese volontariamente pubbliche dai diretti interessati;
Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...

La gestione del consenso all’interno del PIPL

A proposito di consenso, all’interno dell’articolo 14 del nuovo regolamento cinese vengono definite le condizioni necessarie affinché il consenso possa essere utilizzato come base giuridica.

Le situazioni principali sono 5:

  • Il titolare trasmetta le informazioni ad un soggetto terzo;
  • Il titolare intenda divulgare le informazioni;

  • I dati siano raccolti in aree pubbliche per la salvaguardia di pubblici interessi come la raccolta immagini con sistemi di sorveglianza privata;

  • il trattamento riguardanti “sensitive personal data”;

  • Il trattamento preveda il trasferimento di dati personali all’estero.

L’importanza che PIPL affida alla qualità delle informazioni e alla sicurezza

Nel nuovo regolamento viene posta particolare attenzione alla qualità delle informazioni con l’obiettivo di garantire che tutti i dati trattati siano accurati, completi e aggiornati.

Inoltre l’articolo 9 della PIPL indica i titolari del trattamento come responsabili per la sicurezza delle informazioni raccolte, obbligando questi soggetti ad adottare tutte le misure di sicurezza necessarie.

Come per il GDPR, anche in questo caso occorre essere in grado di dimostrare la conformità alla normativa formalizzando privacy, procedure, sistemi per la conservazione dei log e attività di formazione ai dipendenti e ai soggetti terzi.

 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.