In Cina è ora in vigore la legge sulla protezione dei dati personali (PIPL), normativa ispirata al GDPR europeo, nata allo scopo di armonizzare le politiche cinesi in materia di privacy, fino ad oggi piuttosto frammentate.
La legge regolamenta il trattamento delle informazioni personali, i trasferimenti transfrontalieri di informazioni personali, i diritti degli interessati per il trattamento dei dati, gli obblighi dei responsabili del trattamento dei dati, stabilisce l’autorità di controllo responsabile della protezione dei dati personali e precise responsabilità legali.
Le multinazionali che operano in Cina e gestiscono dati degli utenti dovranno ottenere una certificazione sulla protezione dei dati da parte di istituzioni professionali.
La nuova legislazione era stata già approvata ad agosto ma si è atteso nonvembre per rivedere alcune parti e rsiolvere particolari questioni che potevano dare adito a confusione.
Tra i 70 articoli ci sono principi che riguardano trasparenza, limitazione della finalità, minimizzazione dei dati e conservazione, con basi giuridiche che prevedono il consenso dell’interessato, aspetti legati alla sicurezza (è prevista, ad esempio, la necessità di audit periodici di conformità), e disposizioni a tutela dei dati personali dei cittadini cinesi contro l’ingerenza di Stati stranieri. È stato stabilito che se un organismo giudiziario o autorità straniere richiedono la fornitura di dati conservati all’interno del territorio della Cina, occorre l’approvazione dell’organo responsabile. Con questa mossa la Cina sembra volersi opprre alla tendenza degli Stati Uniti di voler estendere la propria giurisdizione sui servizi digitali globali.
Sono previste norme anche a tutela dei dati personali dei soggetti deceduti, con la possibilità di indicare parenti a tutela dell’interessato.
Per i trasgressori che non rispettano le norme sono previste sanzioni fino a 1 milione di yuan (150.000$) e per le persone responsabili del rispetto della conformità sanzioni tra i 10.000 yuan (1500$) e 100,000 yuan (15.000$). Per casi particolarmente “seri”, le autorità sono previste sanzioni fino a 50 milioni di yuan (7,5 milioni di dollari) o il 5% del fatturato annuale del precedente anno fiscale; inoltre, le attività possono essere sospese e revocati permessi di lavoro e licenze di imprese.
Tra le aziende che devono tenere conto delle nuove norme c’è anche Apple. In Cina, dal 2018 la Mela ha già dovuto consegnare “le chiavi” di iCloud al governo locale, conseguenza della necessità di conformarsi alle locali leggi sulla cybersicurezza in base alle quali qualsiasi azienda è obbligata a memorizzare i dati su server fisicamente presenti nella Repubblica Popolare Cinese.
Nuove leggi di Pechino prevedono che Apple conservi su server locali anche dati sensibili quali statistiche sull’uso di iPhone e log relativi alle comunicazioni. Secondo alcuni analisti i dati in questione potrebbero essere sfruttati dai cinesi per tracciare o identificare dissidenti politici e attivisti.
