La Cyber Security Law of the PRC da poco emanata per la prima volta raccoglie in un unico documento previsioni chiave in materia di tutela dei dati personali in Cina. In precedenza le disposizioni  sul tema erano sparse in vari documenti normativi e ristrette a settori o ambiti specifici.

IL FATTO:

Il 7 novembre 2016, il Comitato Permanente dell’Assemblea Nazionale del Popolo dopo tre riletture ha approvato la Cyber Security Law of the People’s Republic of China (di seguito la “Cyber Security Law”), che entrerà in vigore il 1 giugno 2017. In base a quanto dichiarato dal governo cinese, la promulgazione della legge persegue obiettivi di lotta alle frodi telematiche e tutela del paese da rischi alla sicurezza nazionale provenienti dalla rete internet.

Con la nuova legge viene sancito il potere di controllo e supervisione del governo cinese sul ciberspazio ed è introdotta una normativa generalizzata per la tutela dei dati personali in Cina, anche attraverso la fissazione di precisi obblighi a carico dei cosiddetti ‘operatori della rete’.

L’implementazione delle disposizioni della Cyber Security Law è affidata congiuntamente alla Cybersecurity Administration of China, al Public Security Bureau e all’autorità di supervisione responsabile per le telecomunicazioni (attualmente il Ministry of Industry and Information Technology). Tuttavia la legge non istituisce un’autorità garante della privacy e della tutela dei dati in Cina.

L’art. 76 definisce per la prima volta i ‘dati personali’ come “tutti i tipi di informazioni, registrati su supporto elettronico ovvero attraverso altri strumenti, che soli o in combinazione con altre informazioni permettano di identificare l’identità di una persona fisica, inclusi senza limitazioni nome e cognome, data di nascita, numeri identificativi, informazioni personali biometriche, indirizzi, numeri di telefono, ecc “.

Questo il primo merito da riconoscere alla nuova legge.

La legge contiene inoltre una definizione degli “operatori di rete” come “i proprietari, i gestori di una rete ed i network service providers”. Anche il termine ‘rete’ o ‘network’ è definito come “computer, terminali ed altri strumenti per la raccolta, la conservazione, la trasmissione, lo scambio ed il trattamento di dati”.

Il capitolo 4 della legge contiene un elenco copioso e dettagliato degli obblighi imposti agli operatori di rete. Ad essi è innanzitutto imposto l’obbligo di salvaguardare la segretezza dei dati personali raccolti e di agire, nella raccolta ed uso di tali dati personali, nel pieno rispetto dei princìpi di legalità, correttezza e necessarietà. Qualsiasi violazione dei dati da parte di terzi deve essere dagli operatori di rete (o da chi altri si sia occupato della raccolta dei dati) segnalata alle autorità, ed anche i titolari ne debbono essere tempestivamente informati. Il mancato adempimento di tali obblighi può comportare sanzioni pecuniarie fino a 100,000 RMB (corrispondenti a circa 13.000 euro).

E’ imposto inoltre agli operatori di rete un obbligo di informativa nei confronti dei soggetti i cui dati sono raccolti ed utilizzati, con indicazione specifica di obiettivi, modalità e finalità, nonché di ottenere il consenso dei soggetti titolari per qualsiasi attività di raccolta, uso o divulgazione; tuttavia non è chiaro se ad es. il consenso debba essere espresso o possa essere anche implicito.  Gli operatori debbono inoltre mantenere la più stretta riservatezza ed è fatto loro divieto di divulgare i dati, con un’unica eccezione:  quando non sia possibile risalire all’identità dei soggetti titolari. Tale previsione mira ad assicurare la legittimità delle attività condotte da società che si occupano di estrazione di dati a fini statistici, così incoraggiando e promuovendo lo sviluppo del data industry.

E’ infine esplicitamente previsto che gli operatori di rete debbano munirsi ed adottare tutte le misure, anche tecnologiche, necessarie per garantire la sicurezza dei dati personali raccolti e prevenirne la divulgazione, manomissione o distruzione.

Alcune disposizioni della legge rischiano di avere un impatto rilevante sulle imprese, anche straniere, che intendano fornire prodotti e servizi attraverso la rete in Cina.

Ai sensi dell’art. 35, i prodotti della rete e i servizi forniti dagli operatori di ‘critical information infrasctructure’ (‘CII’) saranno soggetti ad apposite verifiche al fine di accertare che tali prodotti o servizi non rechino danni alla ‘sicurezza nazionale’. Inoltre, due categorie di prodotti, 网络关键设备 (Critical network products) e 网络安全专用产品  (Dedicated network security products) saranno soggetti ad obbligatori standard nazionali e necessiteranno di essere certificati ed approvati prima di essere venduti o forniti in Cina. Ad ora, non risulta chiaro quali prodotti possano rientrare in tali categorie, ma ci si attende la promulgazione di un apposito catalogo da parte della Cybersecurity Administration. L’art. 30 della legge elenca i settori nell’ambito dei quali si possano invece identificare le CII. Tra gli altri, il settore energetico, dei trasporti, dei servizi finanziari, dei servizi pubblici. Una delle implicazioni chiave delle CII ai sensi della Cyber Security Law è che i dati personali e i dati rilevanti raccolti o generati da tali CII devono essere conservati in Cina. Se per qualsiasi ragione tali dati debbano essere forniti o divulgati all’estero, tale necessità è soggetta ad apposito esame e verifica dell’autorità cinese competente. Non vi è tuttavia all’interno della legge alcuna definizione di ‘dati rilevanti’.

Come accennato, la promulgazione della legge fa’ seguito alle preoccupazioni di Pechino per le crescenti minacce derivanti da pirateria informatica e terrorismo. Tuttavia le disposizioni in essa contenute hanno creato non poche preoccupazioni nelle imprese estere operanti in Cina.

Le critiche provenienti dall’estero riguardano in particolare le previsioni sulla conservazione dei dati in Cina. La genericità della previsione rischia di espandere le restrizioni oltre confini fumosi, per cui diventa difficile per le imprese adeguarvisi in modo corretto. Inoltre da più parti si teme che la legge rafforzerà le restrizioni sulla rete internet in Cina, già soggetta a sofisticati meccanismi di censura.

Ma genericità ed ambiguità caratterizzano anche altre disposizioni e definizioni contenute nel testo normativo. La stessa definizione di ‘operatori di rete’ e ‘rete’ non sembra lasciar spazio ad esclusioni di sorta e non permette pertanto di circoscrivere precisi ambiti di applicazione delle disposizioni normative. Lo stesso fatto che non sia istituita un’autorità garante della privacy, ma che l’applicazione della nuova normativa sia affidata a più autorità non offre garanzie sull’uniformità nell’applicazione delle sue previsioni.

L’emanazione di regolamenti attuativi o linee guida, già anticipate dalle autorità cinesi preposte, aiuterà a chiarire meglio molti aspetti dubbi delle norme appena introdotte.

PERCHE’ E’ IMPORTANTE:

L’introduzione di una normativa dettagliata sulla tutela dei dati personali in Cina, per quanto ancora avvolta nella novità e nell’attesa di linee guida più dettagliate, segna comunque un momento importante nella crescita legislativa del Paese e nel tentativo della Cina di garantire il rispetto di diritti della personalità, in passato quasi sconosciuti, quali il diritto alla privacy e alla riservatezza. Si tratta, a parere di chi scrive, di un segnale forte lanciato dal governo cinese nel continuo sforzo di adeguare i propri standard agli standard applicati a livello internazionale.