Il 24 febbraio 2023 la Cyberspace Administration of China (CAC) ha pubblicato il tanto atteso regolamento sul contratto standard per l’esportazione di informazioni personali (regolamento China SCC), nonché l’allegato contratto standard (China SCC). Il regolamento entrerà in vigore dal 1° giugno 2023 e gli operatori del mercato hanno un ulteriore periodo di grazia di 6 mesi per entrare nelle SCC cinesi per i trasferimenti di dati transfrontalieri esistenti (vale a dire entro il 30 novembre 2023).

Il China SCC condivide numerose somiglianze con le clausole contrattuali standard dell’UE (EU SCC) ai sensi del GDPR, come la protezione dei diritti beneficiari di terze parti dell’interessato, l’istituzione di una giurisdizione “su vasta scala” per il paese esportatore attraverso l’esecuzione di contratti basati su SCC e altri requisiti di sicurezza obbligatori per le informazioni personali esportate. Tuttavia, le China SCC Measures variano ancora in modo significativo dal concetto di SCC ai sensi del GDPR. Piuttosto che l’approccio a quattro moduli (titolare – titolare, titolare – responsabile, responsabile – responsabile e responsabile – titolare) nell’ambito delle SCC dell’UE, la SCC cinese adotta un approccio unico per tutti verso l’esportazione di informazioni personali attraverso le informazioni personali responsabile (PIP, un concetto simile al “titolare del trattamento” ai sensi del GDPR) al destinatario all’estero. Non vi è alcuna differenziazione in base al ruolo del destinatario estero come titolare del trattamento, responsabile del trattamento o sub-responsabile.

Dunque, è ora importante comprendere quali sono i soggetti che devono sottoscrivere le Clausole Contrattuali Standard per il trasferimento di dati personali dalla Cina. Si tratta dei titolari del trattamento dei dati personali che non soddisfano le soglie per il percorso di valutazione/approvazione della CAC o per la certificazione della CAC per i titolari del trattamento dei dati personali che non risiedono in Cina. Essi, al fine di legittimare i loro trasferimenti di dati personali al di fuori della Cina continentale, devono seguire il percorso delle SCC cinesi. In sintesi, tra le organizzazioni che devono seguire il percorso di valutazione/approvazione CAC si annoverano le organizzazioni designate come Operatore di Infrastrutture Informatiche Critiche, le organizzazioni che esportano “dati importanti”, le organizzazioni che trattano informazioni personali di oltre un milione di persone, i titolari del trattamento dei dati personali che trasferiscono all’estero informazioni personali di oltre 100.000 persone in aggregato informazioni personali sensibili di oltre 10.000 persone in aggregato (ossia dal 1° gennaio dell’anno precedente) ed infine i titolari del trattamento dei dati personali non cinesi devono invece seguire il percorso alternativo di certificazione CAC.

Citando alcune similitudini con le disposizioni a livello europeo, si nota che l’articolo 46 del regolamento generale sulla protezione dei dati (GDPR) dell’UE prevede che l’esportatore di dati possa adottare varie garanzie adeguate per trasferire i dati personali al di fuori del SEE, tra cui le SCC dell’UE. La clausola 2 delle EU SCC precisa che le clausole sono ritenute adeguate garanzie ai sensi del GDPR a condizione che non vengano modificate, salvo che le parti possano selezionare il modulo appropriato, includere le EU SCC in un contratto più ampio o aggiungere ulteriori garanzie, eccetera.

Conformemente, l’articolo 6 del regolamento China SCC prevede che le China SCC debbano essere eseguite rigorosamente in conformità con l’allegato del regolamento China SCC. Gli esportatori e gli importatori di dati possono concordare clausole aggiuntive, a condizione che non siano in conflitto con le China SCC. Tali clausole aggiuntive saranno stabilite nell’appendice delle China SCC e costituiranno parte dell’intero accordo. Da un lato, sia le SCC dell’UE che le SCC della Cina sono invariabili; dall’altro, vi sono alcune differenze inconciliabili tra i due insiemi di termini (ad esempio la legge applicabile e le clausole di risoluzione delle controversie). Pertanto è impossibile per un organismo internazionale modificare uno di essi (ad esempio aggiungendo clausole aggiuntive) per coprire i requisiti previsti dall’altro.

Per quel che riguarda aspetti differenti in merito alle regolamentazioni in esame, si veda che il GDPR dell’UE fornisce diverse garanzie per il trasferimento internazionale, tra cui la decisione di adeguatezza, le SCC dell’UE e le norme vincolanti d’impresa (BCR). Le SCC dell’UE si applicano al trasferimento di dati personali verso giurisdizioni senza una decisione di adeguatezza, indipendentemente dalle dimensioni dell’attività dell’esportatore di dati o dal volume di dati coinvolti. Il PIPL cinese offre anche diverse opzioni per il trasferimento internazionale, tra cui la valutazione della sicurezza, gli SCC cinesi e la certificazione della protezione delle informazioni personali. La differenza è che il PIPL impone responsabilità diverse in materia di protezione dei dati agli esportatori di dati in proporzione all’importanza della loro infrastruttura informativa/dimensione aziendale/volume dei dati trattati o esportati. In altre parole, gli esportatori di dati che gestiscono sistemi critici o elaborano/trasferiscono grandi quantità di dati personali saranno soggetti a un controllo più rigoroso.