Cosa sappiamo della nuova legge sulla privacy in Cina

Ormai sappiamo che la maggior parte delle aziende, per non dire tutte, basano le proprie attività sui dati personali degli utenti. A tal proposito, la Cina aumenta l’attenzione sulla privacy e sui dati personali introducendo una nuova legge in merito. Lo scopo è quello di regolamentare la raccolta e l’utilizzo dei dati e sarà valida sia per le aziende del posto che per quelle straniere, le quali dovranno adattarsi alle nuove restrizioni.

La nuova legge cinese, nello specifico la China Personal Information Protection Law, conosciuta più brevemente sotto il nome di China PIPL, entrerà in vigore l’1 novembre 2021 e verrà imposta a tutte le società che trattano i dati dei cittadini cinesi; queste avranno due mesi di tempo per adeguarsi. Tale legge, che si inserisce all’interno del quadro normativo che prevede già altre due leggi, quali la Cybersecurity Law del 2017 e la Data Security Law in vigore da settembre 2021, definisce in maniera chiara e delineata l’approccio della Cina alla regolamentazione del proprio cyberspazio ed alla propria economia digitale. Le organizzazioni dovranno muoversi per adoperare un approccio “dall’alto verso il basso” ed adottare specifiche procedure capaci di fissare gli standard per le attività di gestione dei dati. Tutto ciò prevede un aumento delle spese generali di conformità in aree riguardanti la gestione del consenso, le valutazioni di impatto sulla privacy ed i trasferimenti internazionali dei dati. Al fine di rendere possibile tutto ciò, l’Amministrazione del Cyberspace of China (CAC) dovrebbe emanare delle specifiche clausole contrattuali standard per i trasferimenti internazionali di dati.

Il punto fondamentale di tale legge riguarda il consenso informato da parte degli utilizzatori dei servizi erogati dalle aziende, cinesi e non, che dovrebbe essere chiaro e liberamente espresso, in modo da consentire la massima trasparenza e facoltà di scelta per i cittadini che decidono di aderire a questi servizi.

In questo contesto, le società italiane si ritrovano avvantaggiate rispetto ad altre, in quanto già conformi al GDPR (General Data Protection Regulation) che, per alcuni aspetti, ha diverse somiglianze con la nuova  legge cinese. In ogni caso, per chi non dovesse rispettare le nuove norme, verranno applicate delle sanzioni amministrative ed anche penali nei casi più gravi. Inoltre, sono anche previste sanzioni interpersonali per i responsabili della privacy che lavorano nelle singole società che prevedono addirittura la sospensione delle cariche dirigenziali.