Protezione dei dati in Cina
La Cina da qualche anno sta perseguendo una politica di maggiore regolamentazione dell'utilizzo dei dati personali.
La Costituzione della Repubblica popolare cinese prevede, agli articoli 38 e 40, i diritti relativi alla privacy, come il diritto alla dignità della persona, divieti contro insulti, diffamazioni, false accuse o false informazioni dirette contro i cittadini cinesi e il diritto alla libertà e alla segretezza della corrispondenza. Queste disposizioni, tuttavia, non stabiliscono un diritto costituzionale espresso alla privacy, anche se il loro oggetto può essere correlato alla privacy.
Il codice civile cinese, entrato in vigore il primo gennaio del 2021, prevede espressamente il diritto alla privacy e alla protezione dei dati personali nella parte riguardante i diritti della personalità. Il codice civile si concentra sulla regolamentazione della raccolta, uso, elaborazione, trasmissione, fornitura e divulgazione di informazioni personali da parte di terzi, stabilendo le condizioni per il trattamento. Prevede una serie di diritti per gli interessati, come il diritto di accesso, copia, correzione e cancellazione e prevenzione dalla divulgazione, falsificazione e fornitura illegale di informazioni personali a terzi da parte del responsabile del trattamento. Il codice civile prevede il consenso come base giuridica, da ottenere prima del trattamento dei dati, ma anche delle eccezioni per il consenso.
Il nono emendamento al diritto penale della Repubblica popolare cinese (promulgato il 29 agosto 2015) prevede che vendere o fornire informazioni personali a terzi in violazione di legge costituisce un reato, e che i soggetti che vendono o forniscono informazioni personali ottenute durante lo svolgimento delle proprie funzioni e prestazione di servizi, in violazione della legge, sono soggetti a una pena più pesante.
Inoltre si aggiungono:
- la legge sulla sicurezza informatica, entrata in vigore il primo gennaio del 2017;
- la legge sulla protezione dei dati;
- la legge sulla sicurezza dei dati.
Le ultime due normative dovrebbero essere finalizzate entro il 2023.
La legge sulla sicurezza informatica, il progetto di legge sulla sicurezza dei dati e il progetto di legge sulle informazioni personali costituiscono complessivamente tre atti legislativi fondamentali in materia di sicurezza informatica e protezione dei dati. Tuttavia, esistono anche leggi speciali, regolamenti, linee guida e standard che disciplinano settori industriali specifici, come le telecomunicazioni, la finanza, la sanità, i servizi di rete, i consumatori e il commercio elettronico.
Prima di tale compendio normativo, la Cina utilizzava leggi settoriale (es. in materia di consumatori) che comunque prevedevano requisiti per il trattamento dei dati personali. In tale quadro anche i regolatori sono settoriali, non esiste un'autorità che si occupa della materia della protezione dei dati personali, ma sono varie autorità che tutelano i dati personali nei settori di loro competenza, come ad esempio:
- Cyberspace Administration of China (CAC);
- China Banking and Insurance Regulatory Commission (CBIRC);
- National Health and Family Planning Commission (NHFPC);
- National Medical Products Administration (NMPA);
- Ministero della Scienza e della Tecnologia (MST);
- Ministero dell'Industria, della tecnologia e dell'informazione (MIIT).
Legge sulla protezione dei dati personali (PIPL)
La Cina sta finalizzando la legge sulla protezione dei dati personali (PIPL), normativa ispirata al GDPR europeo, che ha lo scopo di armonizzare le politiche cinesi in materia di privacy, fino ad oggi piuttosto frammentate. Il progetto di legge regolamenta il trattamento delle informazioni personali, i trasferimenti transfrontalieri di informazioni personali, i diritti degli interessati per il trattamento dei dati, gli obblighi del responsabile del trattamento dei dati, l'autorità di controllo responsabile della protezione dei dati personali e la responsabilità legale. E' costituito da 70 articoli e include principi di protezione dei dati quali: trasparenza, correttezza, limitazione della finalità, minimizzazione dei dati, conservazione, accuratezza dei dati e responsabilizzazione. La normativa non distingue tra titolare e responsabile del trattamento, ma assegna la responsabilità e richiede la conformità al "responsabile del trattamento dei dati personali'', cioè chi gestisce i dati e determina l'ambito del trattamento, e che può essere sia un'organizzazione che singoli individui.
La normativa prevede diverse basi giuridiche:
- il consenso dell'interessato;
- la necessità di eseguire un contratto;
- la necessità di adempiere a un obbligo legale;
- la risposta a un evento di emergenza sanitaria;
- la necessità di proteggere la sicurezza della vita e della proprietà di un individuo;
- la pubblicazione di notizie e la supervisione da parte dell'opinione pubblica per interessi pubblici entro limiti ragionevoli.
Il consenso deve essere chiaro ed espresso liberamente dagli interessati. Prevede un consenso separato per il trattamento dei dati sensibili, come i dati su etnia, credenze religiose, e quelli dei minori di età inferiore ai 14 anni. Infine si prevede anche un consenso separato per il trasferimento transfrontaliero dei dati personali.
La normativa prevede altresì diversi obblighi in materia di sicurezza, come audit periodici di conformità, valutazione dei rischi, formazione periodica dei dipendenti ecc... Inoltre stabilisce obblighi per i fornitori di prodotti o servizi digitali in materia di protezione dati personali. In particolare l'art. 57 prevede per le piattaforme con un gran numero di utenti l'obbligo di istituire un organismo indipendente (composto da membri esterni all'azienda) per supevisionare le attività di trattamento dei dati e pubblicare regolamente rapporti sul trattamento dei dati.
L'art. 41 prevede disposizioni a tutela dei dati personali dei cittadini cinesi verso l'ingerenza di Stati stranieri. Stabilisce, infatti, che se un organismo giudiziario o di polizia straniero richiede la fornitura di dati conservati all'interno del territorio della Cina, occorre l'approvazione dell'organo responsabile. In tal modo la Cina intende opporsi alla tendenza degli Usa di estendere la propria giurisdizione sui servizi digitali in tutto il mondo. L'art. 49 prevede anche la tutela dei dati personali dei soggetti deceduti, ad opera dei parenti.
E' la Cyberspace Administration of China (CAC) che assume la guida in materia di protezione delle informazioni personali, e in particolare si occupa dello sviluppo dei regolamenti e degli standard tecnici per l'implementazione del PIPL (art. 61).
Si applica anche agli organi statali, quali il legislatore, i tribunale, le procure, le commissioni di supervisione e militari, altre ai diparimenti amministratrivi. Quindi anche gli organi statali sono soggetti ai principi di finalità, non eccedenza e limitazione, e in particolare devono informare gli interessati e ottenere il consenso. Agli organi statali si applicano, però, delle specifiche eccezioni qualora il trattamento sia previsto per adempiere a doveri legali, per ragioni di salute pubblica e altre emergenze, o per azioni nell'interesse pubblico (art. 13). L'informazione e il consenso non sono previsti anche nel caso in cui la legge richiede riservatezza per questioni relative alla sicurezza nazione.
Legge sulla sicurezza dei dati (DSL)
La legge sulla sicurezza dei dati (versione cinese) è attualmente in discussione. E' il Ministero della pubblica sicurezza (MPS) che si occupa della sicurezza dei dati. Il progetto di legge sulla sicurezza dei dati è l'atto legislativo fondamentale nel campo della sicurezza dei dati.
La bozza della legge distingue tre tipi di dati:
- dati generali;
- dati importanti;
- dati principali.
I dati personali dovrebbero essere inseriti nella categoria dei "dati generali".
Per i dati "importanti" (dati nel settore finanziario oltre settori strategicamente importanti come l'industria, i trasporti, le telecomunicazioni, l'energia e le tecnologie della difesa) sono previsti:
- informativa sugli accordi per la condivisione:
- accordi di trasferimento dei dati:
- obblighi di segnalazione delle violazioni:
- consensi separati;
- requisiti di valutazione della sicurezza in caso di condivisione, negoziazione, affidamento o invio di dati al di fuori della Cina continentale e presentazione di un rapporto annuale di valutazione della sicurezza al CAC;
- nomina di un responsabile della sicurezza dei dati.
Molti dei requisiti sui dati importanti nella bozza di regolamento sono presenti nel PIPL, laddove la legge sulla sicurezza dei dati si concentra sui requisiti generali per sistemi e procedure per la gestione dei dati, integrandoli con requisiti per l'utilizzo di tecniche come il controllo dell'accesso e la protezione tramite password. Vi sono anche requisiti aggiuntivi, principalmente dal punto di vista antitrust, oltre a divulgazione di pratiche sulla privacy e l'uso di algoritmi.
Lagge sulla sicurezza informatica (CSL)
La legge sulla sicurezza informatica (versione cinese, traduzione inglese non ufficiale) del 2016, entrata in vigore il primo giugno del 2017, impone obblighi di protezione delle informazioni personali applicabili a tutte le imprese che gestiscono un sistema di rete di informazioni computerizzato. Inoltre prevede un obbligo di localizzazione dei dati, cioè i dati devono essere conservati su server all'interno del paese, e gli operatori di infrastrutture informatiche critiche non possono trasmettere "dati critici" o "informazioni personali" che raccolgono o generano in Cina nel corso della loro attività in Cina ad una destinazione al di fuori della Cina, a meno che non superino una "valutazione di sicurezza".
La normativa impone agli operatori di rete di informare gli utenti del trattamento dei dati e di ottenere il consenso, rispettando i principi di legittimità e necessità. Agli operatori di rete è vietato fornire informazioni personali a terzi in assenza di consenso dell'interessato, tranne nei casi in cui le informazioni personali vengono anonimizzate. Inoltre, in caso di perdita o distruzione di informazioni personali, l'operatore di rete deve informare tempestivamente gli utenti, e riferire alle agenzie governative competenti.
Le sanzioni amministrative per gli operatori di rete che violano gli obblighi ai sensi della legge sulla sicurezza informatica possono includere un avviso, un ordine di rettifica, una multa, un ordine di sospensione delle operazioni o persino la revoca dei permessi o delle licenze commerciali.
Legge sui sistemi di raccomandazione algoritmica
Normativa (versione cinese), in vigore dal primo marzo 2022, che si prefigge di disciplinare i sistemi di raccomandazione algoritmica impiegati dalle piattaforme digitali. La legge prevede:
- una responsabilità diretta delle piattaforme per i contenuti diffusi tramite algoritmi;
- controllo penetrante sugli algoritmi di raccomandazione;
- forti limitazioni alla profilazione e al'individualizzazione dei contenuti proposti agli utenti.
Tutte le piattaforme che impiegano sistemi algoritmici di raccomandazione sono responsabili direttamente per le informazioni false e i contenuti veicolati ramite gli algoritmi. Un'attenzione particolare è riservata agli algoritmi che possono influenzare l'opinione publica, creare tensioni sociali e erodere l'unità nazionale. Le piattaforme non solo devono astenersi dal diffondere informazioni false, ma devono limitarsi a trasmettere contenuti appriovati dalle fonti ufficiali, a diffondere e promuovere i valori della tradizione e del socialismo, evitando contenuti in contrasto con le linee del Partito (come ad esempio incoraggiare comportamenti antisociali, stravaganti, volti alla promuscuità sessuale ecc...).
Le piattaforme devono essere trasparenti per quanto riguarda i loro algoritmi, hanno obblighi di informazione sul loro funzionamento, e di monitoraggio costante. Le autorità hanno ampi spazi di intervento e di indagine sul funzionamento degli algoritmi. Sono vietati gli algoritmi che determinano ingiustificate discriminazioni di prezzo o altre condizioni delle transazioni.
I consumatori hanno specifici diritti, tra i quali la possibilità di disattivare le raccomandazioni automatizzate e rimuovere i marcatori (cookie) che consentono il tracciamento. L'effetto è quello di obbligare le piattaforme a creare interfecce utente che consentano di gestire i rpofili e disattivare specifiche impostazioni.
Trasferimento transfrontaliero di dati
Nel progetto di legge sulla protezione dei dati personali vi sono disposizioni relative ai trasferimenti transfrontalieri di dati, che saranno le principali disposizioni una volta approvata la legge. Inoltre vi sono altri due progetti di regolamento, uno sulla sicurezza dei trasferimenti transfrontalieri di informazioni personali e dati importanti, e il progetto di misure di valutazione della sicurezza delle informazioni, attualmente non ancora finalizzati.
Le norme in preparazione prevedono per i trasferimenti transfrotalieri la certificazione di istituzioni riconosciute, oppure un accordo tra titolare e destinatario a garantire che il trattamento soddisfi gli standard di protezione delle leggi cinesi. Se il titolare è classificato come operatore CII o il volume di dati superi una certa soglia, occorre una valutazione di sicurezza del CAC.
Disposizioni speciali e Standard
Il governo cinese ha pubblicato una serie di normative speciali e standard per il trattamento di dati in specifici settori:
- riconoscimento facciale;
- anonimizzazione dei dati;
- app mobili;
- trattamento da parte del governo nei trasporti;
- veicoli connessi;
- trattamento dei dati di minori.