Il governo cinese ha varato lo scorso 20 agosto la nuova legge sulla protezione delle informazioni personali (Personal Information Protection Law, PIPL), equivalente del GDPR europeo, stabilendo per la prima volta norme che limitano la raccolta indiscriminata di dati sulle persone. Come è stato osservato da più parti, i primi ad essere impattati dalla nuova privacy cinese saranno i giganti dell’high tech della stessa Cina.
Cosa contiene la legge sulla privacy cinese
La PIPL – diventerà operativa dal prossimo 1 novembre – si occupa della raccolta, elaborazione e protezione dei dati, materie che in precedenza erano disciplinate da una legislazione frammentaria. Al centro della norma
- La richiesta del consenso degli utenti (che potranno ritirarlo in ogni momento), preliminare a qualsiasi raccolta e trattamento dei dati
- Requisiti rigorosi per quanto riguarda il trasferimento dei dati dei cittadini cinesi al di fuori del paese
- La necessità per le aziende di dotarsi di un responsabile dei trattamenti (come avviene con il GDPR, con l’istituzione del DPO)
- Multe sostanziose (fino al 5% del fatturato) per le aziende che non si adeguano.
Le società che gestiscono dati di cittadini cinesi hanno solo due mesi per adeguarsi: quello che però va osservato è che l’arrivo della PIPL è un passo ulteriore del regolatore cinese nella direzione di un maggiore controllo sulle società tecnologiche presenti nel Paese.
Giro di vite sulla sicurezza dei dati con la Data Security Law (DSL)
A giugno era stata infatti già promulgata in Cina la legge nazionale sulla sicurezza dei dati (“Data Security Law”, DSL, seguito della precedente “Cybersecurity Law” del 2017, entrata in vigore già dal primo settembre 2021). La nuova DSL disciplina la data protection per tutte le attività di raccolta, archiviazione, uso, elaborazione, trasmissione, fornitura e divulgazione dei dati, obbligando le aziende attive in Cina a classificare i dati gestiti e a controllare come questi sono trattati e trasferiti verso terze parti. Se vengono scoperte attività non conformi nel trattamento di dati che rientrano nelle categorie “national core data” e “important data”, le multe possono essere elevate (fino a 10 milioni di yuan, pari a 1,3 milioni di euro) e si arriva anche a incriminazioni. Anche se al momento le norme non stabiliscono con precisione quali sono i “dati importanti” in questione, viene chiesto comunque alle società di effettuare security assessment ogni volta che questi sono trasferiti all’estero. Se le attività di trattamento dei dati possono ledere la sicurezza nazionale, gli interessi pubblici o i diritti e gli interessi legittimi di cittadini o organizzazioni della Repubblica Popolare Cinese, la giurisdizione è estesa a persone o entità all’estero. Di fatto, quasi tutte le aziende che fanno affidamento su Internet, big data e informazioni private degli utenti sono oggi soggette a queste norme.
Il 4 luglio 2021, la Cyberspace Administration of China (CAC) ha quindi avviato una procedura di esame su diversi fornitori di servizi di traffico online, arrivando a un’ingiunzione al servizio di ride-hailing “DiDi Chuxing”. Dallo studio è risultato che DiDi “presenta seri problemi nella raccolta e nell’utilizzo di informazioni private, in violazione di leggi e regolamenti”. Da qui, per l’app è arrivato il blocco della registrazione dei nuovi utenti e la richiesta di cancellare l’app da tutti gli store cinesi, esattamente 4 giorni dopo che DiDi, con un’IPO di grande successo sul mercato USA, aveva raccolto 4,4 miliardi di dollari (le azioni sono crollate del 20% e le ripercussioni hanno riguardato tutte le aziende high tech cinesi, che nel complesso hanno perso valore, come riporta Bloomberg).
Didi è un servizio che conta oggi 337 utenti attivi annuali e 13 milioni di driver in Cina, quindi è effettivamente in grado di raccogliere grandi quantità di dati e potrebbe – visto la rilevanza di queste informazioni – essere considerata un’infrastruttura critica da parte del regolatore cinese (nel 2018 era anche emerso che venivano registrati file audio a insaputa delle persone durante i viaggi).
Con la legge sulla privacy cinese, aumenta il controllo cinese sulle società tecnologiche
La legge sulla privacy cinese, PIPL, prevista entrare in vigore dal 1° novembre, rafforza la sicurezza dei dati e soprattutto permette ai cittadini cinesi di avere un controllo maggiore sulle proprie informazioni: dimostra inoltre le preoccupazioni di Pechino sul potere acquisito dalle società high tech, in particolar modo nel settore internet, per la raccolta sempre più massiva di dati.
Secondo Tencent, la società della popolare app WeChat Messaging, l’industria tecnologica cinese potrebbe subire presto l’arrivo di nuove norme. Sia Tencent sia Alibaba hanno ricevuto quest’anno multe legate alle norme antimonopolio appena introdotte.
Pechino ha affermato invece (tramite l’agenzia governativa Xinhua) che le norme seguono la necessità di mettere freno alle truffe online, di limitare i trattamenti dei dati, e di impedire l’utilizzo di “algoritmi che manipolano i big data e profilano le caratteristiche degli utenti per la determinazione di prezzi sleali”.
Per le aziende occidentali che fanno affari in Cina, con attività che implicano il trattamento dei dati personali dei cittadini, sarà obbligatorio adeguarsi alle norme, individuando rappresentanti e riferimenti locali da segnalare alle agenzie di vigilanza cinesi.
Infine, è evidente che tutto questo non ha alcuna implicazione sulle attività di sorveglianza nazionali cinesi: gli organi pubblici di controllo del Partito continueranno ad accedere alle informazioni personali dei singoli cittadini, e le aziende avranno l’obbligo di fornirle.
A cura di:
Elena Vaciago, Associate Research Manager, The Innovation Group