La nuova legge cinese sulla privacy: un’analisi comparatistica
La nuova legge cinese sulla privacy: un’analisi comparatistica
a cura di Riccardo Spinelli, socio di ELSA Roma
Introduzione
Il 19 novembre 2020 si è concluso il periodo di consultazione relativo alla proposta di legge, presentata all’Assemblea Nazionale del Popolo Cinese, della cosiddetta Personal Information Protection Law, (PIPL – d’ora in avanti “draft”) ovvero la legge sulla tutela delle informazioni personali.
All’esito della consultazione pubblica, il draft[1] che ne risulta offre spunti interessanti circa le intenzioni del legislatore cinese in ambito privacy e data protection, prima fra tutti la volontà di allinearsi alle normative degli altri blocchi economici mondiali, Unione Europea e Stati Uniti.
La necessità di un intervento legislativo sul tema è stata ravvisata anzitutto dai consumatori cinesi, troppe volte vittime di truffe[2], favorite dalla raccolta e dalla vendita spesso inconsiderata dei propri dati.
L’intero impianto del draft ruota, sulla scorta di tali preoccupazioni, sulla necessità di garantire ai cittadini cinesi strumenti per limitare la raccolta privata di dati e di imporre sanzioni più severe per il trattamento illecito degli stessi.
Al riguardo, non può negarsi l’indubbia ispirazione a quanto già previsto dal “nostro” Regolamento UE 679/2016 (o GDPR, General Data Protection Regulation) così come, purtroppo, deve rilevarsi la carenza di un intervento incisivo del legislatore cinese su questioni altrettanto importanti, quali la videosorveglianza e le misure di sicurezza pubblica.
La definizione di “dato personale”.
Una prima similitudine tra la bozza della legge e il GDPR è rinvenibile sin dalle prime disposizioni, laddove vengono fornite le definizioni rilevanti in ambito data protection.
L’art. 4 del draft definisce informazioni personali “all kinds of information recorded by electronic or other means related to identified or identifiable natural persons, not including information after anonymization handling”[3].
Come nel GDPR, dunque, le informazioni personali sono definite in termini di identificabilità dell’individuo[4].
La nuova legge pare discostarsi, dunque, dalla Cybersecurity Law del 2017, che si limitava a definire i dati personali come “various information recorded by electronic or other means … used alone or in combination with other information to recognize the identity of a natural person”[5], aderendo alla visione più ampia dettata dal Regolamento europeo, che include nella definizione anche le informazioni non direttamente riferibili all’interessato, ma che consentono, seppur indirettamente, di identificarlo.
Degna di nota è poi l’esplicita esclusione, nella definizione, delle informazioni sottoposte a procedure di anonimizzazione.
Tale esclusione permette di distinguere la procedura irreversibile di anonymization, che in nessun caso permette di identificare l’interessato (derivandone informazioni escluse dalla definizione dell’art.4), da quello di de-identification: “the process of personal information undergoing handling to ensure it is impossible to identify specific natural persons without support of additional information”[6]. Da ciò ne deriva che le informazioni sottoposte a procedure di de-identification vadano qualificate alla stregua di informazioni personali ex art. 4.
La bozza di legge definisce poi, all’art. 29, quelle che nel linguaggio del GDPR rientrerebbero nelle “categorie particolari di dati”[7], indicando come “sensitive information” i dati personali che, se trattati o diffusi illecitamente, potrebbero generare discriminazioni contro gli interessati o pregiudicarne i diritti fondamentali. Rientrano tra le sentitive informations i dati personali relativi all’origine razziale o etnica, al credo religioso, allo stato di salute, alle caratteristiche biometriche nonché alla situazione finanziaria dell’individuo.
Pur con qualche differenza, anche tale definizione si accosta molto a quanto previsto dal GDPR, anche con riferimento alle stringenti misure introdotte per la tutela di tali peculiari categorie di dati.
A titolo esemplificativo, il draft stabilisce che solo i titolari “with a specific purpose and sufficient need” possano effettuare il trattamento e che il trattamento di tali dati basato sul consenso debba richiedere “a separate consent for sensitive information”[8].
I principi del trattamento e la loro applicazione
Seppur differenziandosi nel metodo, il legislatore cinese si è fortemente ispirato a quello europeo anche nell’individuazione dei principi che regolano il trattamento dei dati personali[9].
Mentre nel GDPR i principi sono sistematicamente elencati all’art. 5, la bozza di legge cinese li individua assegnando a ciascun principio una propria disposizione.
Il risultato, pur complicando leggermente il lavoro di chi a tali principi dovrà uniformarsi, non si discosta come detto dalle previsioni del GDPR, lasciando trasparire l’intento di accostarsi a una visione più vicina ai cittadini intesi come interessati – consumatori.
L’art. 5 del draft indica il principio di liceità e correttezza del trattamento: “Lawful and proper methods shall be adopted for personal information handling, and the principle of sincerity observed. It is prohibited to handle personal information in fraudulent, misleading, or other such ways”[10].
Il trattamento dovrà pertanto essere effettuato in conformità alla legge e con l’adozione di misure che garantiscano la correttezza e la buona fede delle parti attive coinvolte nel trattamento.
I principi di limitazione delle finalità e di minimizzazione dei dati, di cui alle lett. b) e c) del GDPR, sono fatti propri dal legislatore cinese e riuniti all’art. 6, il quale dispone che le informazioni personali debbano essere trattate per finalità determinate e legittime, e che di tali informazioni debba essere utilizzato il minimo indispensabile per il raggiungimento delle finalità prefissate[11].
L’art. 7 introduce il principio di trasparenza, la quale deve essere rispettata tanto nell’esecuzione del trattamento dei dati personali, quanto nelle stesse regole concernenti il trattamento.
Il successivo art. 8 dispone circa il principio di esattezza (previsto nel GDPR alla lett. d) dell’art. 5[12]), nei seguenti termini: “In order to realize the handling purpose, the handled personal information shall be accurate and updated in a timely manner”[13].
Rientra quindi nel principio di esattezza anche la necessità che le modalità di raccolta, trattamento e diffusione di dati personali siano sempre aggiornate e non risultino obsolete.
Di estrema rilevanza è il principio di accountability, che, in sintesi, prevede la necessità, per il titolare, di essere responsabile per il rispetto dei principi relativi al trattamento dei dati, e di essere in grado di comprovarlo.
Orbene, il legislatore cinese ha fatto proprio anche tale principio, evidenziando ancora una volta la volontà di accostarsi alle economie occidentali sotto il profilo della data protection.
L’art. 9 del draft dispone: “personal information handlers shall bear responsibility for their personal information handling activities, and adopt the necessary measures to safeguard the security of the personal information they handle”[14].
Sulla scorta di tale principio, la bozza di legge introduce una serie di cautele, strumenti e istituti (quasi integralmente mutuati dal GDPR) che dovrebbero garantire la responsabilizzazione dei soggetti che, in misura diversa, esercitano il proprio potere sul trattamento (“handlers”).
Si veda, ad esempio, l’art. 49: “Personal information handlers shall establish mechanisms to accept and handle applications from individuals to exercise their rights. Where they reject individuals’ requests to exercise their rights, they shall explain the reason”[15]. L’espressione “establish mechanisms” non può non portare alla mente gli istituti di derivazione europeista di privacy (rectius data protection) by design e privacy by default.
I meccanismi cui fa riferimento l’articolo in esame sembrerebbero richiamare quegli automatismi richiamati dal GDPR (art. 25) che dovrebbero consentire ai titolari (e di riflesso ai responsabili) di effettuare un trattamento prevedendo, sin dal principio (by design), gli strumenti e le corrette impostazioni a tutela dei dati personali, di modo tale che i principi di cui all’art. 5 del Regolamento siano rispettati by default.
Sempre in ottica accountability, dall’art. 51 della bozza di legge si ricava l’intenzione di introdurre una figura molto simile (se non analoga) al “nostro” data protection officer: “Personal information handlers who handle personal information reaching quantities provided by the State cybersecurity and informatization department shall appoint persons responsible for personal information protection, responsible for conducting supervision of personal information handling activities as well as adopted protection measures, etc.”[16]
È doveroso un breve cenno ai cosiddetti risk assessments, ovvero quegli strumenti di accountability che consentono agli handlers del trattamento di dimostrare di aver adottato tutte le misure necessarie per una corretta applicazione dei principi in materia data protection.
Si veda, al riguardo, l’art. 54 del draft: “Personal information handlers shall conduct a risk assessment in advance of the following personal information handling activities, and record the handling situation:
- Handling sensitive personal information;
- Using personal information to conduct automated decision making;
- Entrusting personal information handling, providing personal information to third parties, or publishing personal information;
- Providing personal information abroad;
- Other personal information handling activities with a major influence on individuals.
The risk assessment content shall include:
- Whether or not the personal information handling purpose, handling method, etc., are lawful, legitimate, and necessary;
- The influence on individuals and the degree of risk;
- Whether or not the adopted security protection measures are lawful, effective, and suited to the degree of risk.
Risk assessment reports and handling status records shall be preserved for at least three years”[17].
Anche in questo caso, non può negarsi la quasi totale sovrapponibilità dell’istituto del risk assessment con quello del data protection risk assessment (DPIA) di matrice europea (art. 35 GDPR).
Concludendo l’analisi dei principi, l’art. 20 del draft introduce quello che nella terminologia del GDPR viene definito principio di limitazione della conservazione, disponendo che il periodo di retention delle informazioni personali debba limitarsi al minimo indispensabile per il conseguimento delle finalità del trattamento, salva l’ipotesi in cui “… laws or regulation include other requirements on retention period”.
Il consenso e i diritti dell’interessato.
La legge cinese sulla Cybersecurity del 2017 indicava come unica base giuridica del trattamento il consenso dell’interessato.
Tale scelta del legislatore, se prima facie poteva risultare restrittiva e favorevole agli utenti, si è spesso tradotta in interpretazioni oscure da parte dei titolari del trattamento[18].
Il draft del 2020 evidenzia, ancora una volta, l’intenzione del legislatore cinese di accostarsi alla normativa europea, ampliando le basi giuridiche che rendono il trattamento dei dati legittimo (art. 13 del draft):
“Personal information handlers may only handle personal information where they conform to one of the following circumstances:
- Obtaining individuals’ consent;
- Where necessary to conclude or fulfill a contract in which the individual is an interested party;
- Where necessary to fulfill statutory duties and responsibilities or statutory obligations;
- Where necessary to respond to sudden public health incidents or protect natural persons’ lives and health, or the security of their property, under emergency conditions;
- Handling personal information within a reasonable scope to implement news reporting, public opinion supervision, and other such activities for the public interest;
- Other circumstances provided in laws and administrative regulations”[19].
È interessante notare come, a differenza del GDPR[20], non rientra nell’elencazione l’interesse legittimo del titolare, base giuridica che ha ingenerato non pochi dubbi in sede di applicazione nell’UE, in quanto tale presupposto sembrerebbe lasciare un margine di manovra troppo vasto in capo a chi decide le finalità e i mezzi del trattamento.
Sarà poi sicuramente oggetto di discussione l’inclusione della finalità di “…public opinion supervision” tra le basi giuridiche che legittimano il trattamento, una scelta che potrebbe destare perplessità in prospettiva de iure condendo.
Quanto al consenso dell’interessato, l’art. 14 del draft pare sovrapponibile al “nostro” art. 4 par. 11, in quanto prevede che gli interessati debbano ricevere un’informativa completa circa il trattamento a cui i loro dati sono sottoposti, e che debbano acconsentirvi con una manifestazione di volontà libera e inequivocabile.
Di particolare rilevanza è il concetto di separate consent, previsto dal draft in più ipotesi, come quella in cui i dati siano trasferiti a terze parti per effetto di fusioni o incorporazioni tra società titolari, ovvero quando i dati siano associati a sensitive informations o siano trasferiti all’estero.
Un’importante distinzione rispetto alla normativa europea riguarda il consenso dei minori al trattamento.
Infatti, se nel GDPR è previsto che, qualora il trattamento si basi sul consenso degli interessati, l’età minima per acconsentirvi è di sedici anni[21], il draft riduce tale soglia ai quattordici anni, così come già previsto nel Regulation on Children’s Data Protection del 2019.
Quanto ai diritti dell’interessato, il draft muove dei passi da gigante rispetto alla normativa che lo ha preceduto.
È anzitutto previsto il diritto di accesso dell’interessato (artt. 44 – 45), in virtù del quale lo stesso può ottenere dal titolare tutte le informazioni che lo riguardano e che siano oggetto di trattamento, potendo in qualsiasi momento chiederne l’interruzione o la limitazione, salvi eventuali divieti di legge.
L’interessato può altresì richiedere la rettifica delle informazioni che siano incomplete o inesatte, e il titolare deve attivarsi “… in a timely manner” (art. 46).
L’art. 47 del draft regola il diritto all’oblio[22] dell’interessato, ovvero la facoltà di ottenere la cancellazione dei propri dati, qualora:
- Siano state raggiunte le finalità del trattamento, ovvero sia scaduto il periodo di retention concordato o previsto dalla legge;
- Il titolare cessi la propria attività;
- L’interessato revochi il proprio consenso;
- I dati siano stati trattati illecitamente;
- Altre circostanze determinate dalla legge.
In aggiunta, l’art. 47 prevede che in ogni caso il trattamento debba essere interrotto se la cancellazione dei dati personali risulta tecnicamente complessa.
Malgrado la portata innovativa sotto il profilo dei diritti degli interessati, risulta evidente la mancanza nel draft di un cenno al diritto alla portabilità[23], ovvero la possibilità di ottenere le proprie informazioni in un formato che consenta di trasmettere tali dati ad un altro titolare senza impedimenti[24].
In dottrina si è evidenziata una certa superficialità del legislatore nel non aver previsto maggiori specifiche in merito agli obblighi degli handlers per facilitare l’esercizio dei diritti degli interessati: l’auspicio è che la versione finale del draft tenga in considerazione tale aspetto critico[25].
Il trasferimento dei dati personali all’estero
La disciplina in materia di trasferimento transazionale di dati delineata dal draft si rivela particolarmente interessante, poiché fornisce indicazioni importanti relativamente alle scelte macroeconomiche del legislatore cinese.
È opportuno premettere che l’art. 3 della bozza di legge delimita l’ambito territoriale di applicazione della nuova normativa nei seguenti termini:
“This Law applies to organizations and individuals’ handling personal information activities of natural persons within the borders of the People’s Republic of China.
Where one of the following circumstances is present in handling activities outside the borders of the People’s Republic of China of personal information of natural persons within the borders of the People’s Republic of China, this Law applies as well:
- Where the purpose is to provide products or services to natural persons inside the borders;
- Where conducting analysis or assessment of activities of natural persons inside the borders;
- Other circumstances provided in laws or administrative regulations”[26].
Ne deriva che la normativa nella sua versione finale dovrebbe applicarsi non solo al trattamento dei dati delle persone fisiche nel territorio cinese, ma anche ai trattamenti dei dati degli interessati che si trovano nel territorio nazionale ma che avvengono al di fuori dei confini nazionali, al verificarsi delle condizioni sopra citate.
La grande portata innovativa della normativa in analisi risiede però nella disciplina relativa al trasferimento dei dati personali all’estero, figlia della volontà del governo cinese di aprirsi ai mercati internazionali.
L’art. 38 del draft, con un approccio simile alle disposizioni di cui al Capo V del GDPR, prevede la possibilità per le aziende di esportare i dati personali, se necessario “… for business or other such requirements”, qualora soddisfino almeno uno dei seguenti criteri:
- Superamento di una valutazione di sicurezza da parte dell’Amministrazione Statale Cinese per il Cyberspazio (CAC);
- Certificazione di un ente terzo che attesti la conformità con le disposizioni dell’Amministrazione Statale Cinese per il Cyberspazio in materia data protection;
- Conclusione di accordi con i destinatari delle informazioni, che specifichino i diritti e gli obblighi di entrambe le parti;
- Applicazione delle altre condizioni previste da leggi, regolamenti amministrativi o dall’Amministrazione Statale Cinese per il Cyberspazio[27].
A norma dell’art. 40 del draft, se i dati sono riferibili a “critical information infrastructure operator(s)”[28] i dati personali non possono lasciare il territorio cinese a meno che non si superi una valutazione di sicurezza gestita dall’Amministrazione Statale Cinese per il Cyberspazio.
Conclusioni
A prescindere da eventuali valutazioni (geo)politiche, in tanti chiedevano un intervento legislativo maggiormente completo ed uniforme e, con l’imminente approvazione della Personal Information Protection Law le istanze dei cittadini sembrano esser state ascoltate.
Non solo, anche le attività economiche stabilizzate in Cina potrebbero proficuamente avvalersi della maggiore flessibilità ad esse accordata in termini di trasferimento dei dati all’estero.
Ciononostante, come i primi commentatori hanno rilevato, probabilmente per dirsi veramente completa la legge avrebbe necessitato di interventi più incisivi sul delicato tema della sicurezza pubblica.
In una nazione dove la videosorveglianza è considerata primario strumento di sicurezza pubblica, e dove le azioni quotidiane sono dettate dal c.d. social scoring system[29], una disciplina più stringente e vicina alla riservatezza dei cittadini avrebbe potuto rappresentare una rampa di lancio verso una cultura maggiormente democratica.
Ciò non toglie che con l’emanazione della legge sulla privacy, la Cina sembrerebbe aver compiuto un importante passo verso un mondo dove i semplici confini territoriali nazionali si rivelano troppo “stretti” per una data driven economy ormai globale.
[1] L’unica traduzione integrale (non ufficiale) del testo è consultabile al sito: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/ , visitato il 31/03/2021.
[2] Sul punto, cfr. K. Heo, China’s privacy paradox, in MIT Technology Review, 2020, VIII, 51 e ss.
[3] Trad.: “Qualsiasi tipo di informazione registrata su un supporto elettronico o qualsiasi altro strumento relativa a persone fisiche identificate o identificabili, ad esclusione delle informazione sottoposte a procedure di anonimizzazione”.
[4]Art. 4 n.1. GDPR: “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
[5] L.Ross, K. Zou, T.Liu, China’s Draft Personal Information Protection Law, in Lexology, 30/10/2020. Trad: “Le informazioni registrate su supporti elettronici … utilizzate singolarmente o in combinazione con altre informazioni per riconoscere l’identità di una persona fisica”.
[6] Art. 6 n. 3 PIPL (draft). Trad.: “La procedura di sottoporre dati personali ad un trattamento che renda impossibile indentificare una persona fisica senza l’utilizzo di informazioni aggiuntive”.
[7] Art. 9 par 1 GDPR: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
[8] V. infra.
[9] C. Yue, S. Zhang, J. Shi, S. Werner, China Data Protection Update: Deep Dive (2): Data protection principles, legal basis of processing and consent requirements under the Draft Personal Information Protection Law, in Lexology, 30/10/2020.
[10] Trad.: “I dati devono essere trattati in modo lecito e corretto, nel rispetto del principio di sincerità. È proibito trattare i dati personali in modo fraudolento, ingannevole o con simili modalità”.
[11] G. Greenleaf, China issues a comprehensive draft data privacy law, in Privacy Laws & Business Report, 2020, 1, 6 – 10.
[12] “I dati personali sono … esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
[13] Trad.: “Per realizzare le finalità del trattamento, i dati devono essere esatti ed aggiornati in tempi rapidi”.
[14] Trad.: “I titolari del trattamento sono responsabili per le proprie attività, e devono adottare tutte le misure necessarie per garantire la sicurezza delle informazioni che trattano”.
[15] Trad.: “I titolari del trattamento dovrebbero introdurre meccanismi che permettano di accettare e trattare le richieste degli interessati che intendano esercitare i propri diritti. L’eventuale rigetto della richiesta deve essere motivato”.
[16] Trad.: “I titolari che trattino dati personali oltre la soglia indicata dal Dipartimento cybersecurity e informazione devono nominare una figura responsabile della protezione dei dati, responsabile per la supervisione del trattamento, per l’adozione di misure adeguate, etc.”
[17] Trad.: “I titolari devono implementare una valutazione di impatto preventiva quando il trattamento richieda le seguenti attività: 1. Trattamento di informazioni sensibili; 2. Utilizzo di informazioni personali per effettuare valutazioni automatizzate; 3. Affidamento dei dati personali a terze parti o pubblicazione degli stessi; 4. Fornitura di dati personali all’estero; 5. Ogni altra attività che comporti un elevato impatto sugli interessati. La valutazione di impatto deve indicare: 1. La legittimità, correttezza e necessarietà delle finalità, dei mezzi etc. del trattamento; 2. L’impatto sugli interessati ed il livello di rischio; 3. La legittimità e l’efficacia delle misure di sicurezza adottate. Le valutazioni di impatto e i registri del trattamento devono essere conservati per almeno tre anni”.
[18] A. Geller, How comprehensive is chinese data protection law? A systematisation of chinese data protection law from a european perspective, in GRUR International, 2020, 69, 1191 – 1203.
[19] Trad.: “I titolari possono effettuare il trattamento dei dati personali al verificarsi di una delle seguenti condizioni: 1. L’interessato ha espresso il proprio consenso al trattamento; 2. Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato sia parte; 3. Il trattamento è necessario per adempiere un obbligo legale; 4. Il trattamento è necessario per intervenire in caso di emergenza sanitaria, o per tutelare la salute e il patrimonio delle persone fisiche in situazioni di emergenza; 5. Il trattamento è effettuato per finalità di cronaca, di supervisione dell’opinione pubblica nonché altre attività di interesse pubblico; 6. Altre ipotesi stabilite dalla legge o dai regolamenti amministrativi”.
[20] Art. 6 par. 1 lett. f) GDPR
[21] Art. 8 GDPR, fatta salva la possibilità dell’esercente la responsabilità genitoriale di prestare il consenso per conto del minore. Al par. 2 è previsto inoltre che gli Stati membri possano stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
[22] Il diritto all’oblio è disciplinato nel territorio dell’UE dall’art. 17 del GDPR
[23] C. Yue, M. Chan, J. Shi, S. Werner, China Data Protection Update: Deep Dive (3): Individual Rights, in Lexology, 04/11/2020. Gli autori precisano: “This right, in a limited form, can be found in the PI National Standard … which provides that if an individual so requires and if technically permissible, a data controller should transfer certain personal informationrequeste directly to the third party designated by such individual”.
[24] Art. 18 GDPR.
[25] C. Yue, M. Chan, J. Shi, S. Werner, China Data Protection Update: Deep Dive (3): Individual Rights, cit.
[26] Trad.: “La presente legge si applica anche ai trattamenti dei dati personali delle persone fisiche che avvengono al di fuori dei confini della Repubblica Popolare della Cina se: 1. La finalità del trattamento consiste nell’offrire prodotti o servizi alle persone fisiche al di fuori dei confini nazionali; 2. Il trattamento è effettuato per il monitoraggio e l’analisi delle attività delle persone fisiche all’interno dei confini nazionali; 3. Altre ipotesi stabilite dalla legge o dai regolamenti amministrativi”.
[27] R. Goretta, GDPR e trasferimento dati extra UE: i casi di Cina, India, Brasile e Russia, https://www.agendadigitale.eu/sicurezza/privacy/gdpr-e-trasferimento-dati-extra-ue-i-casi-di-cina-india-brasile-e-russia/, consultato il 06/04/2021.
[28] A titolo di esempio: telecomunicazioni, e-government, trasporti.
[29] Per approfondire: https://www.agendadigitale.eu/cultura-digitale/il-social-credit-system-cinese-un-esempio-di-big-data-al-servizio-del-potere/