Il 1° novembre 2021 entrerà in vigore in Cina la “Legge sulla Protezione dei Dati Personali” (“Personal Information Protection Law”). La legge, che per il suo contenuto è stata equiparata all’europeo GDPR (General Data Protection Regulation), è volta a regolare la raccolta, il trattamento ed il trasferimento dei dati personali di individui in Cina. 

Per approfondire la nuova legge e comprenderne gli effetti per le imprese italiane, Confindustria e ADVANT Nctm organizzano un webinar di approfondimento per il prossimo 27 ottobre, a partire dalle h. 10.30.

L’iniziativa si terrà sulla piattaforma GO! e sarà possibile registrarsi tramite il seguente LINK.

 

Si riporta di seguito una sintesi del provvedimento normativo.

 

A chi si rivolge questa nuova legge? 

Questa legge si rivolge a qualsiasi soggetto, estero o nazionale, che raccolga dati personali di soggetti residenti in Cina.

 

Trattamento dei dati in Cina

  • Il consenso è sempre richiesto per l’ottenimento e il trattamento dei dati personali
  • Le “informazioni sensibili” (quelle informazioni come i dati biometrici, credo religioso, informazioni finanziarie, etc. che, se divulgate, possono arrecare danno alla persona, la dignità o la proprietà del soggetto interessato) richiedono un consenso separato.
  • Le informazioni riguardanti minori di 14 anni richiedono un consenso separato dei genitori o dei tutori.

 

Trasferimento dei dati a soggetti esteri

  • È necessario superare una valutazione di conformità da parte della Cyberspace Administration of China (“CAC”).
  • È richiesta una certificazione da parte di un’agenzia specializzata per la protezione dei dati personali autorizzata dalla CAC.
  • Va adottato un modello contrattuale per il trasferimento dei dati adottato da CAC.
  • È necessario un ulteriore consenso separato da parte del soggetto interessato che autorizzi al trattamento dei propri dati personali all’estero
  • Il trasferimento di dati personali ad autorità estere è vietato, salvo espressa autorizzazione da parte di CAC.

 

Principali obblighi introdotti 

  • Qualora venga superata la soglia indicata dal CAC è necessario costituire un organismo specifico responsabile della protezione e del corretto utilizzo dei dati personali.
  • Qualora la natura o la quantità dei dati lo renda necessario, l’azienda deve prevedere un sistema interno di classificazione e gestione dei dati.
  • Adottare le adeguate misure di sicurezza riguardante la criptazione e de-identificazione dei dati.

 

Sanzioni

Sono previste delle sanzioni di tipo amministrativo che possono prevedere, in base alla gravità della violazione, una sanzione fino a 1 milione di RMB per le violazioni semplici e 50 milioni di RMB per le violazioni gravi nonché, per le società cinesi, la revoca della business license. 

 

Questa nuova normativa mi riguarda? 

Per comprendere se la nuova normativa incida sulla propria attività, è opportuno considerare i seguenti punti

  • Nella mia azienda è presente un soggetto responsabile della protezione dei dati?
  • Esistono informative sulla privacy e sul rilascio del consenso per dipendenti, clienti e fornitori?
  • Ho a disposizione un modulo di consenso per la raccolta, il trasferimento e il trattamento dei dati personali?
  • Ho a disposizione un modulo di consenso per la raccolta, il trasferimento e il trattamento dei dati all’estero?
  • I miei dipendenti che operano sui dati personali di clienti o dipendenti sono informati sugli obblighi imposti dalla nuova legge?
  • Tra i miei clienti sono presenti minori di 14 anni?
  • Vendo prodotti/servizi a soggetti residenti in Cina tramite il mio sito?
  • I dati che raccolgo vengono trasferiti all’estero? 
  • Il soggetto estero cui trasferisco i dati, anche ai fini del loro trattamento, soddisfa i requisiti di sicurezza nel trattamento dei dati?