La legge cinese sulla protezione delle informazioni personali (PIPL) è entrata in vigore il 1° novembre 2021: includendo la normativa sulla sicurezza informatica e la legge sulla sicurezza dei dati, la PIPL è la terza di tre norme cinesi progettate per fornire un approccio globale alla sicurezza informatica, alla sicurezza dei dati e alla privacy dei dati. Il suo scopo principale, di fatto, consiste nel poter impedire l’uso improprio dei dati da parte di società private.
Tuttavia, la legge cinese sulla protezione dei dati ha effetto anche al di fuori dei confini territoriali della Repubblica popolare e quindi anche gli imprenditori europei sono in parte costretti ad agire. L’impatto che la normativa PIPL sta avendo è davvero enorme, applicandosi ad aziende situate al di fuori della Cina che gestiscono dati inerenti a persone fisiche presenti in Cina. Si applicherà dunque anche alle aziende italiane che offrono prodotti e servizi a persone fisiche presenti in Cina, evidenziando che anche l’accesso da remoto a dati conservati sul territorio cinese equivale a un trasferimento extra-territoriale di dati, a cui si deve necessariamente applicare la normativa (secondo quanto previsto, altresì, dal GDPR).
In sintesi, ad esempio, se una software house italiana fornisce un servizio in modalità SaaS (software as a service) ad aziende presenti nel territorio cinese, trattando dati di persone presenti in Cina, dovrà rispettare la PIPL, oltre al GDPR, chiaramente.
Si pone l’accento sulla diversa natura della normativa PIPL, da cui derivano le effettive differenze rispetto al GDPR: l’articolo 1 della PIPL afferma espressamente che il fine ultimo della normativa consiste nel “proteggere i diritti delle persone, standardizzare le procedure di trattamento dei dati e promuovere un uso razionale dei dati”, ma se da una parte, il GDPR favorisce la circolazione dei dati all’interno del mercato unico europeo, la PIPL, promuovendo un uso standardizzato dei dati, li definisce come un asset strategico volto ad una c.d. “sovranità digitale”.
Esistono di fatto delle differenti esigenze economiche e politiche tra Cina e UE, come ad esempio il primario bisogno di tutelare una sovranità digitale che in Cina si è sviluppata in quasi vent’anni. Nello specifico, il testo normativo (composto da 8 articoli) pone in rilievo i principi generali (similari a quelli relativi al GDPR) e le condizioni di liceità da rispettare per trattare dati personali.
Per quel che riguarda le differenze presenti tra i due testi normativi, esse si evincono per lo più in merito all’ambito di applicazione: il GDPR si applica sia agli enti pubblici che a quelli non pubblici mentre la legge cinese è limitata solo alle società private (solo in via sussidiaria PIPL si applica anche agli enti statali). Complessivamente la Cina non ha una tradizione costituzionale di protezione dei dati e la stessa PIPL non è un diritto con status costituzionale. Infine, vale anche la pena ricordare che le autorità di vigilanza in Cina non sono indipendenti. Un prerequisito per l’efficacia delle autorità di vigilanza in Europa è la loro indipendenza, sancita dall’art. 52 del RGPD. È fondamentale che le autorità di vigilanza dell’UE siano esenti da istruzioni e supervisione legale nell’esecuzione dei loro compiti e nell’esercizio dei loro poteri e non siano soggette ad alcuna influenza.
La normativa PIPL risulta attualmente una vera e propria sfida per le aziende, che sarà affrontata all’esperienza pregressa messa a frutto grazie al rispetto del GDPR. In generale, la materia relativa alla protezione dei dati sta assumendo un ruolo sempre più globale e geopolitico e le aziende di tutto il mondo dovranno abituarsi a tenere in considerazione la concatenazione, che ormai esiste, tra i vari framework a livello globale.
Scrivi un commento
Devi accedere, per commentare.