l GDPR cinese è la “China Personal Information Protection Law”, anche conosciuta come “China PIPL” ed è in vigore dal primo novembre 2021. A questa si sono unite la Cibersecurity Law emanata nel 2017 e la Data Security Law entrata in vigore il primo settembre del 2021. Nel febbraio 2023, la Cyberspace Administration of China (CAC), l’autorità cinese che regola l’uso di internet, ha pubblicato il suo contratto standard (Standard Contractual Clauses o SCC).
Il China SCC condivide somiglianze con le clausole contrattuali standard dell’UE create ai sensi del GDPR tra cui, in questo caso, l’istituzione di una giurisdizione per il paese esportatore attraverso l’esecuzione di contratti basati su SCC e altri requisiti di sicurezza obbligatori per le informazioni personali. A differenza del GDPR, in Cina le organizzazioni, che si devono attenere a dei contratti standard, possono negoziare condizioni aggiuntive e migliorative con i destinatari dei dati all’estero, a condizione che non siano in conflitto con le SCC cinesi.
Il GDPR dell’UE fornisce, inoltre, diverse garanzie per il trasferimento di dati personali verso altre giurisdizioni senza una previa decisione di adeguatezza e indipendentemente dalle dimensioni dell’attività dell’esportatore di dati o dal volume di dati coinvolti. Il PIPL cinese, invece, richiede che il trasferimento internazionale avvenga solo laddove il titolare del trattamento necessiti realmente di fornire le informazioni personali al di fuori del territorio della Repubblica Popolare Cinese per esigenze commerciali o di altra natura. Inoltre, secondo il PIPL, ci sono responsabilità diverse in materia di protezione dei dati in proporzione all’importanza dell’infrastruttura informativa e dimensione dell’azienda, quindi gli esportatori di dati che gestiscono sistemi critici o elaborano o trasferiscono grandi quantità di dati personali saranno soggetti a un controllo più rigoroso.
In primo luogo, l’azienda che tratta i dati dovrà ottenere il consenso separato per il trattamento dei dati, il trasferimento dei dati all’estero ed eventualmente il trasferimento dei dati ad un soggetto terzo all’azienda. Ci sarà poi la firma di un contratto tra l’azienda cinese e quella estera. Ogni contratto conterrà obblighi molto dettagliati compresi i requisiti relativi al periodo minimo di conservazione dei dati, al controllo dell’accesso a questi, alla notifica agli interessati e all’autorità cinese in caso di data breach. Il terzo passaggio sarà la preparazione di un piano di impatto che contenga l’indicazione della necessità e della legittimità del trasferimento dei dati, soddisfacendo il principio del “minimo e necessario”. Dovranno inoltre essere adottate misure di sicurezza sufficienti per ridurre al minimo i rischi per la sicurezza e l’impatto sulle persone. L’ultimo passaggio è il deposito della documentazione presso le autorità.
I trasferimenti avvenuti prima di tale data avranno un periodo di grazia di sei mesi prima di essere adeguatamente documentati e resi conformi.
(C.D.G.)
