Nuova legge privacy cinese, che devono sapere le aziende italiane che lavorano con la Cina - Agenda Digitale

digital economy

Nuova legge privacy cinese, che devono sapere le aziende italiane che lavorano con la Cina

Pechino sta ridisegnando la disciplina della digital economy cinese, ma l’impatto delle nuove leggi sulla privacy, la cybersecurity e la data security sui business model delle aziende straniere, anche italiane, sarà importante. Facciamo il punto

22 Set 2021
Marco Gervasi

Executive Director, Red Synergy Business Consulting

Photo by Zachary Keimig on Unsplash

Il primo novembre 2021 entrerà in vigore la nuova legge cinese sulla privacy: “China Personal Information Protection Law” anche conosciuta come “China PIPL”. Tutte le società che trattano dati di cittadini cinesi, incluse quelle basate fuori dalla Cina, hanno solo due mesi per adeguarsi.

Una novità che ha un certo impatto sulle tante aziende italiane che lavorano con la Cina.

Cina PIPL

La China PIPL si inserisce in un quadro normativo composto da altre due leggi: la Cybersecurity Law emanata nel 2017 e la Data Security Law entrata in vigore il primo settembre del 2021. Entro la fine del 2021 la Cina avrà gettato le basi per la sua catalogazione, regolamentazione e commercializzazione dei dati, separando quelli critici da quelli che verranno scambiati per generare valore in un mercato di un miliardo e mezzo di consumatori.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Alla luce di queste leggi, sono necessarie alcune considerazioni su ciò che sta avvenendo nel mondo dei dati in Cina e, anche, sull’impatto che questo nuovo regime avrà sul business model delle aziende straniere – anche italiane – che devono implementare processi di privacy per il Paese.

Privacy, Pizzetti: “Il nuovo approccio cinese e l’importanza di un mercato unico digitale globale”

I dati come quinta leva di produzione in Cina

Guardiamo prima ai numeri: 20 anni fa solo il 10% della popolazione cinese aveva accesso a internet, oggi il sistema tech cinese vale circa 4 trilioni di dollari. Sulle piattaforme di Alibaba viaggiano quasi il doppio delle transazioni di Amazon e Wechat è la più grande super app al mondo con 1,2 miliardi di utenti. La crescita esponenziale del settore digitale ha portato la Cina nel 2020 a riconoscere i dati come la quinta leva della produzione. Il paese vuole sfruttare il potere di questi non solo tutelandone il trattamento, ma vigilando anche sul modo in cui vengono raccolti.

Un esempio è ciò che sta succedendo ad Alipay. All’inizio di settembre le autorità hanno richiesto alla società fintech controllata da Alibaba di separare il business dei prestiti, che vale attualmente il 40% del fatturato, da quello dei pagamenti. Le autorità hanno richiesto che i dati degli utenti profilati siano conferiti in una JV tra Alipay e lo stato. Alipay perde così la capacità di valutare in maniera indipendente la solvibilità di coloro che richiedono un prestito, permettendo allo stato di acquisire conoscenza sulle modalità di erogazione, nonché avere i dati dei consumatori. Questa è solo una delle numerose riforme attuate dal governo cinese che nel 2021 hanno fatto perdere quasi un triliardo di dollari alle aziende tech cinesi.

L’impatto delle nuove leggi sul business model delle aziende tech

Le aziende tecnologiche all’estero osserveranno con attenzione se e come le società cinesi riusciranno a trarre profitto date queste restrizioni. Qualora, nonostante la regolamentazione, troveranno modalità per avere successo, è probabile che i governi stranieri seguano l’esempio normativo cinese.

La Cina sta quindi ponendo le basi per disciplinare la sua digital economy per i prossimi 20 anni. Questo processo non sta certo risparmiando caduti e feriti. Nel trattare i dati dei consumatori cinesi, le misure da mettere in pratica non saranno solo quelle di ottemperanza alla legge, ma richiederanno l’uso di una lente più sofisticata. Le società straniere dovranno infatti capire che in alcuni casi l’ingerenza delle leggi sui dati arriverà sino al loro business model. Dovranno trarre insegnamento da quello che sta accadendo per conformare o addirittura migliorare i propri prodotti e processi.

A questo punto come dovrebbero adattarsi le aziende italiane che si trovano a implementare processi di privacy per la Cina? Senza entrare nel merito dei singoli articoli della legge, è importante valutare quali saranno i primi interventi necessari.

Le sanzioni per i trasgressori

Va notato che le aziende italiane sono avvantaggiate rispetto a quelle di altri continenti, perché si sono già conformate al GDPR che ha diverse somiglianze con la nuova legge cinese. Tuttavia, la China PIPL comporterà sicuramente un incremento delle risorse e dei costi da dedicarsi alla compliance. Esiste un rischio concreto da parte delle società italiane qualora non adottino le prime misure necessarie per adeguarsi. Le sanzioni sono sia amministrative che, nei casi più gravi penali. Sono previste inoltre sanzioni personali per i responsabili della privacy all’interno delle società con addirittura la sospensione dalle cariche dirigenziali.

È probabile che non appena la legge entrerà in vigore le autorità cinesi si concentrino sulle grandi società cinesi e straniere che gestiscono dati critici in Cina. Tuttavia, verrà demandato alle piattaforme di vigilare sul comportamento dei vendors fuori dalla Cina. Un esempio è ciò che è avvenuto in questi giorni quando il governo ha richiesto alle principali piattaforme media tra cui Wechat,Weibo, Bytedance di autodisciplinarsi e di bandire coloro che pubblichino contenuti che non siano salutari e positivi per la società. Le piattaforme rafforzeranno quindi i controlli e la gestione dei singoli account. E’ decisamente più efficace per il governo chiedere ai gate keepers di farsi carico di far rispettare la legge.

Nuova legge privacy cinese, i consigli alle aziende italiane

Con probabilità questo accadrà anche nel caso della China PIPL dove alle società straniere – e quindi anche quelle italiane – verrà richiesto di far rispettare le norme sul trattamento dei dati dei cittadini cinesi. Il consiglio è quello di mettere in pratica alcuni accorgimenti per operare nel rispetto delle norme.

Trasferimento dati fuori dalla Cina

Il primo consiglio sarà quello legato al trasferimento dei dati fuori dalla Cina. Un’attività consigliata alle aziende è quella di effettuare internamente una valutazione d’impatto sulla protezione dei dati (o valutazione d’impatto sulla privacy dei dati, DPIA).

Con la DPIA, le società potranno riconoscere i rischi specifici riguardanti la protezione dei dati personali, analizzare in che modo, sia internamente che esternamente tramite soggetti terzi, vengono raccolti, utilizzati, condivisi e conservati i dati personali per poi decidere le misure per affrontare i rischi.

Possiamo fare due esempi di scenari in cui le società si potrebbero ritrovare a breve.

  • Il primo è quello in cui società italiane che operano direttamente sul territorio cinese, condividono dati con il quartier generale. L’invio di dati all’estero o addirittura l’accesso remoto dei dati in Cina dall’estero, anche semplicemente da Hong Kong, saranno considerati dalla legge come un trasferimento di dati. Un esempio possono essere i dati di marketing o dati relativi al personale impiegato.
  • Un secondo caso invece sarà la condivisione con le società terze, come gli operatori locali di supporto alle vendite di e-commerce (TP partners), dei dati personali relativi ai clienti. Questi soggetti sono utilizzati da tutte le società che vendono online sulle piattaforme e tra le loro funzioni c’è quella del customer care. Anche in quest’ultimo caso si rientrerà nell’applicazione della legge, perché raccolgono dati personali quali ad esempio email, indirizzi, informazioni di pagamento, preferenze etc. In entrambi i casi sarà quindi necessario che la casa madre stipuli dei contratti sia con la sussidiaria cinese che con i TP partners nei quali disciplini correttamente l’uso ed il trasferimento dei dati in e fuori dalla Cina. Questi contratti saranno la prova che l’azienda ha messo in atto misure di tutela del trattamento e proteggerà da possibili reclami o ispezioni delle autorità.

Raccolta consensi e formazione personale

  • Un altro aspetto sarà la raccolta del consenso e la condivisione dei dati con soggetti terzi. Anche in questo caso la legge è molto chiara richiedendo il consenso esplicito e, in alcuni casi separato, per la raccolta, la condivisione ed il trasferimento dei dati. Un esempio può essere la condivisione dei dati raccolti tramite la pagina dello shop online con le società di digital marketing e di data analytics che analizzano i dati per le campagne promozionali quali quella del China Single Day, 11 novembre. Anche in questo caso le società dovranno ottenere, prima di tutto, il consenso esplicito dei cittadini cinesi. Contestualmente dovranno concludere con le società che forniscono servizi accordi che disciplinino lo scambio ed il trattamento dei dati. Qualora, come spesso capita, le società italiane si trovino all’estero e gli operatori in Cina, andrà regolato nel contratto il trasferimento dei dati all’estero.
  • Un ultimo aspetto è quello della formazione del personale sia manageriale che quello a contatto con i dati dei consumatori. È consigliabile che le società incarichino risorse umane adeguate per il lavoro di protezione dei dati personali e che nominino degli incaricati per la sicurezza delle informazioni generali, un addetto alla privacy o anche un responsabile della protezione dei dati. Questo indipendentemente che si trovino o meno sul territorio cinese. La legge infatti richiede che venga costituita un’agenzia speciale o designato un rappresentante all’interno del territorio cinese. È quindi importante prevedere una formazione regolare su sicurezza e privacy per tutto il personale.

Per capire meglio quali siano le azioni da mettere in campo e le ripercussioni sulle attività e-commerce legate al made in Italy, ne parlerò con il CEO sud Europa di Alibaba e con l’Osservatorio del Politecnico di Milano nella puntata della 360OnTv in programma il 27 settembre alle 18.00.

Una nuova era per il controllo dei dati da parte del governo

E siamo solo all’inizio di una nuova era per il controllo dei dati da parte del governo. Si è infatti passati da una posizione neutrale al coinvolgimento non solo nel business, ma persino nei prodotti. Una volta capita la potenzialità, e la minaccia, il governo ha iniziato a emanare leggi entrando nel merito dei processi e arrivando sino a influenzare la scrittura del software. L’ingerenza dello stato diventa molto più forte che in Europa e USA.

Un altro esempio è il un nuovo progetto di legge sugli algoritmi emanato il 27 agosto. Alle aziende sarà proibito creare algoritmi che causino dipendenza agli utenti o li spingano a spendere grandi somme di denaro. Gli utenti dovranno essere informati in modo chiaro sui servizi di raccomandazione algoritmica che vengono forniti dalle società e avere poi un modo per disattivarli. Infine, a questi sarà concesso scegliere, rivedere o eliminare i tag utente utilizzati per le raccomandazioni.

Le aziende italiane farebbero bene a prepararsi.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4