Recenti disposizioni del governo cinese in tema di cyber security potrebbero indurre molte società costituite in Cina – tra cui anche imprese a capitale estero – a rivedere i propri sistemi di raccolta dati dei dipendenti ovvero ottenerne esplicito consenso prima di trasferirli all’estero per qualsiasi motivo.
Il fatto:
Come preannunciato in un nostro precedente articolo, a fine dello scorso anno veniva emanata la Cyber Security Law of the People’s Republic of China (la “Cyber Security Law”), in vigore dal 1 giugno 2017. In attuazione delle disposizioni della Cyber Security Law inerenti il trasferimento e conservazione di dati personali al di fuori del paese, l’11 aprile 2017 è stata diffusa, al fine di raccogliere pubblici commenti, una bozza delle Draft Measures on the Security Assessment in Relation to Overseas Transfer of Personal Information and Important Data (le “Measures”).
Le Measures, predisposte ed emanate per chiarire le disposizioni della Cyber Security Law, aprono in realtà dubbi ulteriori su quali accorgimenti debbano adottare le imprese in Cina per evitare di incorrere in violazioni della normativa e conseguenti sanzioni. Cerchiamo di fare un po’ di chiarezza in base a quanto ad oggi noto. Innanzitutto le Measures non riguardano tutte le imprese indistintamente, ma prevedono che destinatarie degli obblighi in esse previsti debbano essere due categorie di imprese: gli “operatori di rete” (gli “Operatori di Rete”) e gli “operatori di critical information infrastructures” (gli “Operatori CII”), per le cui definizioni si rimanda al nostro precedente articolo. Nella pratica, le definizioni date di tali due categorie imprenditoriali sono talmente ampie che ad oggi è difficile individuare quali società potrebbero esserne escluse. L’art. 37 della Cyber Security Law prevede, per gli Operatori di Rete, l’obbligo di conservare in Cina i dati personali o altri dati rilevanti ottenuti o processati nel territorio della RPC, richiedendo – ove necessario trasferirli al di fuori del territorio cinese – di effettuare opportune valutazioni sulla sicurezza, oltre all’esplicito consenso del titolare dei dati. Le Measures estendono tale disposizione anche agli Operatori CII, che prima ne erano esclusi. ‘Dati personali’ sono definiti all’interno della normativa ‘tutti i dati che, soli o in combinazione con altri, permettano di identificare una persona fisica’. Per ‘dati rilevanti’ s’intendono – per disposizione delle Measures – non tanto i dati che potrebbero avere rilievo per la società, bensì i ‘dati connessi alla sicurezza nazionale, lo sviluppo economico, gli interessi pubblici e sociali’.
Prima di qualsiasi trasferimento all’estero di dati personali o dati rilevanti, Operatori di Rete ed Operatori CII dovranno procedere ad un’autovalutazione dei rischi connessi che tenga conto di: necessità del trasferimento, tipologia e sensibilità dei dati, misure di protezione, rischi connessi alla sicurezza nazionale. Tale autovalutazione dovrà essere condotta annualmente e gli esiti dovranno essere riportati all’autorità regolatoria competente. Inoltre, a date condizioni, un’ulteriore valutazione dovrà essere effettuata da autorità cinesi appositamente preposte, in particolare quando il trasferimento riguardi un ammontare elevato di informazioni (dati ed informazioni appartenenti a più di 500.000 individui), o di un volume di dati superiore ai 1000 gigabyte, o dati riguardanti settori o tematiche ritenuti sensibili (impianti nucleari, biochimici, difesa nazionale e militare, condizioni di salute della popolazione, progetti ingegneristici su ampia scala, …).
Le Measures esplicitamente vietano il trasferimento al di fuori del paese di dati personali e rilevanti, oltre a quando manchi del tutto il consenso del titolare, quando il trasferimento potrebbe porre a rischio la sicurezza del sistema politico nazionale, dell’economia, scienza e tecnologia nazionali, e la difesa nazionale; oppure quando un’autorità regolatoria lo preveda espressamente.
Perché è importante:
Alla luce della nuova normativa, molte attività straniere presenti in Cina potrebbero vedersi obbligate a rivedere strategie e policy interne. E’ il caso ad es. di quelle imprese che abbiano adottato un sistema centralizzato di gestione dei dati delle loro risorse presso una sede estera. La trasmissione dei dati dalla controllata cinese alla sede di gestione dei dati o anche a fornitori dislocati al di fuori del territorio cinese dovrà passare attraverso le procedure sopra descritte. E’ inoltre consigliabile, per lo meno per i neoassunti, che il consenso esplicito del lavoratore alla trasmissione dei suoi dati sia ottenuto a priori già in sede di sottoscrizione del contratto.
I termini nei quali le nuove regole saranno implementate nella pratica rimangono ancora fumosi, in parte perché il testo definitivo delle Measures non è stato ancora emanato, in parte perché molto dipenderà da come le disposizioni verranno interpretate e implementate dalle singole autorità a livello locale. E’ tuttavia preferibile che le società con dipendenti in Cina si attivino quanto prima per comprendere fino a che punto ed in che termini potrebbero essere interessate dalle nuove disposizioni.
No Comments