La repubblica polare cinese ha sottoposto in consultazione una bozza di legge in materia di protezione dei dati personali.
Si tratta di un primo passo mirante a ricondurre una miriade di norme e disposizioni attualmente in vigore nel paese asiatico all’interno di un unico corpo normativo.
Il testo di legge prende in esame anche il delicato tema rappresentato dal trasferimento transfrontaliero dei dati personali (oggi di estrema attualità a seguito della cd sentenza Schrems II).
Per approfondimenti sul trasferimento di dai personali all’estero si rinvia ad approfondimenti:
Privacy e trasferimeno dati verso Paesi terzi
"Scudo privacy", il Garante autorizza il trasferimento dei dati negli Usa
A tale riguardo il trasferimento transfrontaliero dei dati è rimesso alla decisione che il Governo prenderà caso per caso.
Da una prima sommaria lettura del testo, che è estato fornito dal governo cinese anche in versione inglese (per una consultazione del testo integrale si rinvia al seguente link: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/) è evidente come il legislatore asiatico si sia rifatto al testo della comunità europea, contenuto nel Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Ciò lascia ben sperare per il futuro anche se non può essere sottaciuto che la lettura del testo deve essere contestualizzata all’interno del perimetro normativo cinese ( a partire dalla legge sulla cybersicurezza del 2016 con la quale il governo cinese ha inteso anche tutelare i dati dei cittadini, soprattutto riguardo ai trattamenti posti in essere dai fornitori di servizi online) e deve avvenire utilizzando categorie giuridiche che non sono quelle retaggio della cultura giuridica del’Occidente.
Per la lettura del testo integrale si rinvia al seguente link https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/
Le finalità sottese alla introduzione di una legge in materia di trattamento dei dati personali è esplicitata nell’articolo 1 ove si legge che questa legge è formulata al fine di proteggere i diritti e gli interessi delle informazioni personali, standardizzare le attività di trattamento delle informazioni personali, salvaguardare il flusso legale, ordinato e libero delle informazioni personali e stimolare l'uso ragionevole delle informazioni personali.
E’ riconosciuto valore giuridico alla protezione dei dati, per cui le informazioni personali delle persone fisiche ricevono protezione legale; nessuna organizzazione o individuo può violare i diritti e gli interessi relativi alle informazioni personali delle persone fisiche.
Per quanto attiene alla individuazione dei soggetti destinatari di tale legge, si chiarisce che la presente legge si applica alle organizzazioni e alle persone che gestiscono le attività di informazioni personali di persone fisiche entro i confini della Repubblica popolare cinese.
L'articolo continua dopo la pubblicità
Ti potrebbe interessare l'e-book Tutela della Privacy - (Pacchetto 2 eBook)
1) Definizione di dato personale
La definizione di dato personale è piuttosto estesa e vi si fa ricomprendere tutti i tipi di informazioni registrate con mezzi elettronici o altri mezzi relativi a persone fisiche identificate o identificabili, escluse le informazioni anonimizzate.
La gestione delle informazioni personali include la raccolta, l'archiviazione, l'utilizzo, l'elaborazione, la trasmissione, la fornitura, la pubblicazione e altre attività simili di trattamenti personali.
Il trattamento dei dati personali deve avvenire nel rispetto dei principi di liceità, appropriatezza e sincerità, ed è vietato gestire le informazioni personali in modo fraudolento, fuorviante o in altri modi simili.
Va operata una stretta connessione fra il trattamento e lo scopo per il quale i dati sono trattati per cui il trattamento non può eccedere dallo scopo, che deve essere chiaro e ragionevole. È vietato condurre operazioni di trattamento delle informazioni personali estranee allo scopo del trattamento.
Le informazioni da fornire ai soggetti, così come le stesse regole, devono essere devono essere chiare.
Il trattamento delle informazioni deve essere tale da garantirne l’accuratezza e l’aggiornamento tempestivo.
Profili di responsabilità
La responsabilità in merito alle operazioni di trattamento incide sui gestori delle operazioni stesse, così come su di essi gravano i profili di responsabilità riguardo all’applicazione delle necessarie misure di sicurezza.
Risalto viene dato agli ambiti rappresentati dalla sicurezza nazionale e dall’interesse pubblico che sono oggetto di tutela pertanto è vietato (alle organizzazioni o alla singola persona fisica) trattare dati personali violando le disposizioni di leggi e regolamenti amministrativi, o danneggiando la sicurezza nazionale o l'interesse pubblico.
Autority nazionale
E’ prevista la creazione di un organismo statale (presumibilmente sulla falsariga delle Autorità nazionali che in Europa presiedono alla tutela dei dati personali) con il fine di prevenire e punire atti che ledono i diritti e gli interessi delle informazioni personali, rafforzare la propaganda e l'educazione sulla protezione delle informazioni personali e promuovere la creazione di un buon ambiente per la protezione delle informazioni personali, con la partecipazione congiunta del governo, imprese, organizzazioni di settore pertinenti e pubblico in generale.
La Repubblica Popolare Cinese si ritaglia anche un ruolo internazionale per la elaborazione di norme internazionali per la protezione delle informazioni personali, stimola lo scambio internazionale e la cooperazione nel settore della protezione delle informazioni personali e promuove il riconoscimento reciproco delle norme e degli standard sulla protezione delle informazioni personali, con altri paesi, regioni e organizzazioni internazionali.
Basi di legittimità.
Il secondo capitolo del testo disciplina le Regole per il trattamento delle informazioni personali, individuando, le basi che legittimano il trattamento dei dati, che sono: il consenso degli individui; la conclusione o l’adempimento di un contratto di cui l'interessato è parte; per adempiere a doveri e responsabilità legali o obblighi di legge; per rispondere a incidenti di salute pubblica improvvisi o proteggere la vita e la salute delle persone fisiche, o la sicurezza della loro proprietà, in condizioni di emergenza. Ulteriori condizioni di legittimità sono: l’esercizio dell’attività giornalistica, altre attività (non specificate dal legislatore) sorrette da un interesse pubblico; altre circostanze previste da leggi e regolamenti amministrativi.
Il consenso al trattamento delle informazioni personali deve poggiare su una dichiarazione di volontà, informata ed esplicita, e va richiesto in tutti i casi in cui sia previsto da una norma (legge o regolamento amministrativo). Qualora si verifichi un cambiamento nello scopo del trattamento delle informazioni personali, nel metodo di trattamento o nelle categorie di informazioni personali trattate, il consenso dell'individuo deve essere nuovamente ottenuto.
Viene riconosciuta una tutela aggiuntiva nei confronti dei minori di quattordici anni di età i cui dati vengono trattati, per cui si impone a chi tratta i loro dati di ottenere il consenso del loro tutore.
E’ prevista la possibilità di revoca del consenso.
I gestori di informazioni personali non possono rifiutarsi di fornire prodotti o servizi sulla base del fatto che un individuo non acconsente al trattamento delle proprie informazioni personali o revoca il proprio consenso al trattamento delle informazioni personali, tranne quando il trattamento delle informazioni personali è necessario per la fornitura di prodotti o servizi.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
2) Informativa
Chi tratta i dati personali, prima di iniziare il trattamento stesso, ha l’onere di notificare, ricorrendo a un linguaggio chiaro e comprensibile, i seguenti elementi: l'identità e il metodo di contatto del gestore dei dati personali; lo scopo del trattamento dei dati personali e le modalità di trattamento; le categorie di dati personali trattati e il periodo di conservazione; i metodi e le procedure con cui le persone possono esercitare i diritti previsti dalla presente Legge; altri elementi previsti da leggi o regolamenti amministrativi devono essere comunicati. Vanno, altresì, comunicate eventuali modifiche di uno o più degli aspetti sopra richiamati.
Le prescrizioni contenute nel precedente articolo non trovano applicazione nelle ipotesi in cui le leggi o i regolamenti amministrativi prevedono che la segretezza sia mantenuta o la notifica non sia necessaria. Così come, in situazioni di emergenza, dove è impossibile informare le persone in modo tempestivo al fine di proteggere la vita, la salute e la sicurezza delle persone fisiche, i gestori delle informazioni personali devono informarle dopo la conclusione dello stato di emergenza.
Data retention.
La conservazione dei dati deve essere strettamente correlata al tempo necessario a raggiungere gli scopi che sono alla base del trattamento delle informazioni. A meno che le leggi o i regolamenti amministrativi prevedano diversamente in merito ai periodi di conservazione delle informazioni personali.
Trattamento posto in essere congiuntamente da due o più responsabili
E’disciplinata l’ipotesi in cui il trattamento sia posto in essere da due o più responsabili, che decidono congiuntamente uno scopo e un metodo di trattamento dei dati personali, concordando anche i diritti e gli obblighi di ciascuno. Tuttavia, detto accordo non influenza i diritti di un individuo di richiedere che un qualsiasi gestore di informazioni personali esegua le prestazioni ai sensi delle disposizioni della presente legge. L’articolo in esame prevede una responsabilità in solido in capo ai responsabili del trattamento che gestiscono congiuntamente le informazioni personali e violano i diritti e gli interessi delle persone.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
3) Esternalizzazione del trattamento.
Si prende in esame il caso in cui i responsabili del trattamento delle informazioni personali ricorrono alla esternalizzazione del trattamento stesso e viene imposta la conclusione di un accordo con il soggetto terzo che dovrà regolamentare lo scopo del trattamento affidato, il metodo di trattamento, le categorie di informazioni personali, le misure di protezione, nonché i diritti e doveri di entrambe le parti, ecc. Resta in capo ai responsabili del trattamento l’obbligo di controllare il trattamento effettuato dal terzo. Le parti incaricate gestiranno le informazioni personali secondo l'accordo; non potendo trattare le informazioni personali per finalità di trattamento o modalità di trattamento, eccedenti il contratto; e dopo che il contratto è stato adempiuto e completato o il rapporto di affidamento sciolto, dovranno restituire le informazioni personali al gestore dei dati personali o cancellarle. Senza il consenso del responsabile del trattamento dei dati personali, una parte incaricata non può ulteriormente affidare il trattamento dei dati personali ad altre persone.
Processo decisionale automatizzato
Adeguato rilievo è dato anche all’ipotesi in cui il trattamento delle informazioni personali avvenga ricorrendo a un processo decisionale automatizzato (con particolare riferimento a chi tratta dati per finalità commerciali), che dovrà essere trasparente e garantire l'equità e la ragionevolezza del risultato del trattamento. Laddove una persona ritenga che il processo decisionale automatizzato eserciti un forte impatto sui propri diritti e interessi, ha il diritto di richiedere ai gestori delle informazioni personali di ottenere informazioni aggiuntive e specifiche sul grado di invasività del processo e ha il diritto di rifiutare che i gestori delle informazioni personali prendano decisioni esclusivamente attraverso metodi decisionali automatizzati.
Videosorveglianza
Il trattamento dei dati attraverso un sistema di videosorveglianza, in luoghi pubblici, è legittimo se avviene per salvaguardare la sicurezza pubblica e osservando le normative statali pertinenti e previa segnalazione della presenza dei dispositivi di ripresa.
Il contenuto delle riprese non può essere pubblicato o fornito ad altre persone, a meno che non ci sia il consenso specifico degli individui o che leggi o regolamenti amministrativi dispongano diversamente.
Il trattamento di dati già resi pubblici deve avvenire sempre nel rispetto delle finalità; in caso contrario va acquisito il consenso del soggetto interessato dal trattamento.
Dati sensibili.
Il legislatore cinese fornisce la definizione di informazione sensibile riferendosi a quelle informazioni personali che, una volta trapelate o utilizzate illegalmente, possono causare discriminazione nei confronti di individui o gravi danni alla sicurezza personale o della proprietà, comprese informazioni su razza, etnia, credenze religiose, caratteristiche biometriche individuali, salute medica, conti finanziari, posizione individuale, tracciamento, ecc
Il trattamento dei dati sensibili può avvenire solo per scopi specifici e quando necessario.
Se per il trattamento del dato sensibile è richiesto il consenso individuale, i responsabili del trattamento delle informazioni personali devono ottenere il consenso specifico dell'individuo. Laddove leggi o regolamenti amministrativi prevedano l'ottenimento del consenso scritto per il trattamento di dati personali sensibili, tali disposizioni sono seguite.
Sanzioni.
E’ previsto un importante apparato sanzionatorio che dispone per il trattamento illegale di dati personali o la mancata adozione delle misure necessarie per proteggere i dati personali, sanzioni fino a 6.233.000 euro circa oppure calcolate fino al 5% delle entrate dell'anno precedente, (il legislatore non specifica se il fatturato (le entrate) saranno calcolate a livello di gruppo o di singola società.
La sanzione si applica anche a chi materialmente ha posto in essere il trattamento (quindi la persona fisica) che potrà essere multata per un importo fino a 128 mila euro circa.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- La Privacy negli studi professionali (eBook 2022).
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
4) Conclusioni
La Bozza di Legge in commento rappresenta il primo tentativo da parte del legislatore cinese di disciplinare una materia oltremodo complessa, come è quella del trattamento dei dati personali, attraverso un unico corpo normativo.
Ai fini interpretativi del testo probabilmente la governo cinese procederà come è solito fare in questi casi: adottata una legge se ne osserva l’impatto e successivamente si interviene “spiegandone” la sua attuazione, attraverso altre norme.
Di conseguenza siamo davanti ad un primo step di un percorso lungo che prende in esame anche il delicato tema rappresentato dal trasferimento transfrontaliero dei dati personali (oggi di estrema attualità a seguito della cd sentenza Schrems II) Per approfondimenti sul trasferimento di dai personali all’estero si rinvia agli approfondimenti:
- Privacy e trasferimeno dati verso Paesi terzi
- "Scudo privacy", il Garante autorizza il trasferimento dei dati negli Usa
A tale riguardo il trasferimento transfrontaliero dei dati è rimesso alla decisione che il Governo prenderà caso per caso.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy