PIPL e GDPR a confronto

Privacy, aziende Ue alle prese con la nuova legge cinese: cosa cambia rispetto al Gdpr

Se una software house italiana fornisce servizi SaaS in Cina, dovrà rispettare la PIPL, la nuova legge cinese sulla privacy, oltre al GDPR. La buona notizia è che quelle che hanno già iniziato un percorso di adeguamento al Regolamento Ue avranno poche difficoltà, considerando le differenze talvolta anche sostanziali

29 Dic 2021
Matteo Navacci

Business Partner Net Patrol Italia e Co-fondatore Privacy Network

privacy capienze - data retention - conservazione dati traffico

Dal 1° novembre 2021 è entrata in vigore la Personal Information Protection Law (PIPL) cinese. Una legge attesa in tutto il mondo e la prima di questo tipo in Cina, che ha evidentemente preso ispirazione dal nostro General Data Protection Regulation (GDPR), in vigore dal 25 maggio 2018.

La PIPL è destinata ad avere un impatto enorme, anche più del GDPR. Il meccanismo di applicazione territoriale è pressoché identico. La legge si applica infatti anche alle aziende situate al di fuori della Cina che trattano dati riferibili a persone fisiche presenti in Cina. Si applicherà quindi anche alle aziende italiane che offrono prodotti e servizi a persone fisiche presenti in Cina, che analizzano o valutano il loro comportamento, o in altre circostanze previste da altre leggi e regolamenti.

Vale la pena sottolineare che anche l’accesso da remoto (ad esempio dall’Italia) a dati conservati sul territorio cinese equivale a un trasferimento extra-territoriale di dati, a cui si applica la normativa. Proprio come previsto anche dal GDPR.

Privacy, Pizzetti: “Il nuovo approccio cinese e l’importanza di un mercato unico digitale globale”

Pipl e Gdpr, differenze sostanziali e ideologiche

In pratica, se una software house italiana fornisce un servizio in modalità SaaS (software as a service) ad aziende in Cina, trattando dati di persone presenti in Cina, dovrà rispettare la PIPL – oltre al GDPR, s’intende.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

La buona notizia è che le aziende che hanno già iniziato un percorso di adeguamento al GDPR avranno poche difficoltà a rispettare anche la PIPL – tenendo in debita considerazione le differenze, che esistono e talvolta sono anche sostanziali.

Prima di vedere nel concreto qualcuna di queste differenze, è bene soffermarsi sulla diversa natura e ideologia della PIPL, da cui scaturiscono poi tutte le sue differenze rispetto al GDPR.

L’articolo 1 della PIPL afferma espressamente che lo scopo della legge è “proteggere i diritti delle persone, standardizzare le procedure di trattamento dei dati e promuovere un uso razionale dei dati”. Come il GDPR, anche la PIPL si pone l’obiettivo primario di difendere i diritti delle persone. Ma le somiglianze si fermano qui.

Da una parte, il GDPR promuove la libera circolazione dei dati all’interno del mercato unico europeo. I dati sono visti come una risorsa necessaria all’espansione e al funzionamento del mercato unico digitale.

Dall’altra, la PIPL, che invece promuove un uso standardizzato e razionale dei dati, che non solo sono visti come un asset produttivo, ma anche come un asset strategico per la sovranità digitale e la sicurezza dello Stato e delle persone. Il motivo di questa differenza ideologica può forse anche ricercarsi nelle diverse esigenze economiche e politiche tra Cina e Unione Europea. Se noi abbiamo l’esigenza primaria di stimolare il libero commercio tra Paesi Membri, la Cina ha invece l’esigenza primaria di proteggere la sovranità digitale che ha guadagnato negli ultimi venti anni. D’altronde, non si può certo dire che l’UE abbia una sovranità digitale da proteggere, considerando che siamo in tutto e per tutto dipendenti dagli Stati Uniti.

Il testo normativo

Passando al testo normativo, questo si compone di otto capitoli, che iniziano come il GDPR descrivendo i principi generali e le condizioni di liceità da rispettare per trattare dati personali. Questi principi sono molto simili a quelli previsti dal GDPR, anche se il legislatore cinese per certi versi si spinge oltre. Ad esempio, è particolarmente interessante il divieto espresso di trattare dati in modo “ingannevole o con raggiri”. In base a questo divieto sarebbero illeciti tutti quei dark patterns che spesso flagellano il web (soprattutto nell’ambito cookie), in quanto azioni che hanno lo scopo di ingannare l’utente.

È chiaro che, per via interpretativa, lo stesso principio potrebbe desumersi anche dal GDPR, ma non è certamente un argomento forte quanto la lettera della legge.

Il capitolo sui principi si conclude con alcuni articoli direttamente rivolti allo Stato, che si impegna espressamente a migliorare le condizioni di trattamento dati attraverso attività di propaganda e educazione, e attraverso la collaborazione con aziende e organizzazioni. Anche qui si comprende bene la diversità d’intenti tra la PIPL e il GDPR, che invece non prevede obblighi di questo tipo verso i Paesi Membri.

Condizioni di liceità del trattamento dati

Le condizioni di liceità del trattamento di dati, cioè quelle regole da rispettare per realizzare un trattamento lecito, sono descritte al secondo Capitolo. Senza entrare nel dettaglio, vale la pena evidenziare una grande differenza col GDPR, che riguarda i cosiddetti dati sensibili. Il legislatore cinese ha infatti scelto un approccio non tassativo (al contrario del GDPR) per descrivere questa categoria di dati. Nella PIPL per dati sensibili si intendono quelle informazioni che se diffuse o usate in modo illecito possono causare un danno alla dignità della persona, danni biologici o patrimoniali. In pratica, tutto e niente, a seconda del contesto. I relativi articoli (28 e 29) provvedono a fornire un’elencazione esemplificativa di alcuni dati sensibili. Qui le differenze col GDPR sono marcate: anche le informazioni finanziarie e le informazioni sulla geolocalizzazione sono considerate (giustamente) sensibili. Non solo, anche tutti i dati che riguardano i minori di 14 anni sono considerati sensibili. Le aziende italiane o europee a cui si applica la PIPL dovranno quindi prestare la massima attenzione a questo aspetto, da cui derivano poi specifiche responsabilità.

Trasferimento di dati al di fuori della Cina

Dopo aver descritto i principi e le condizioni di liceità del trattamento il legislatore provvede a descrivere le regole per il trasferimento di dati al di fuori della Cina (Capitolo III).

Da un punto di vista sistematico, la scelta di inserire queste regole subito dopo i principi generali e prima ancora dei diritti delle persone e delle regole di governance, è significativa: mostra l’importanza del controllo dei dati da parte del National People’s Congress (NPC).

Il trasferimento di dati al di fuori del territorio cinese è sempre visto come un trattamento per sua natura pericoloso. Proprio a causa di questa diffidenza verso il trasferimento di dati al di fuori della Cina, il legislatore ha prescritto il rispetto di diverse condizioni obbligatorie. Tra queste, è sempre obbligatorio ottenere il consenso della persona e sottoporre il trattamento a valutazione d’impatto prima del trasferimento.

Nel framework del GDPR invece l’approccio è molto diverso. Raramente il consenso è una valida base giuridica per un trasferimento di dati extra-UE, e non sempre il trasferimento è un trattamento considerato rischioso e quindi soggetto a valutazione d’impatto. Anzi, in alcuni frangenti è la stessa Commissione Europea che ci dice che il trasferimento è “sicuro” (verso i paesi ritenuti adeguati).

Ma non finisce qui. Oltre al consenso e alla valutazione d’impatto, è necessario rispettare almeno un’altra condizione tra:

  • sottoporsi a uno schema di certificazione che possa dimostrare il rispetto dei requisiti previsti dal Cyberspace Administration of China (CAC)
  • concludere un contratto tra esportatore e importatore, che possa garantire il rispetto della normativa (similmente alle nostre Standard Contractual Clauses)
  • sottoporsi a una valutazione di sicurezza da parte del CAC. Quest’ultima condizione è prevista però solo per gli operatori di infrastrutture critiche o per le aziende che trattano grandi quantità di dati

Le responsabilità dei personal information handlers

I Capitoli successivi definiscono le specifiche responsabilità dei personal information handlers (i nostri data controller / titolari del trattamento) in materia di governance interna. Anche in questo caso, la differenza con il GDPR è primariamente ideologica.

Se il legislatore europeo ha preferito un certo grado di flessibilità della normativa, con un approccio puramente orientato alla valutazione del rischio della singola azienda, il legislatore cinese ha preferito lasciare meno libertà d’azione.

Ad esempio, è obbligatorio per qualsiasi azienda dotarsi di specifiche politiche e procedure interne per la gestione dei dati. In UE invece l’adozione di queste politiche è lasciata alla valutazione del titolare (se “proporzionato” al trattamento, come previsto dall’articolo 24).

Un altro esempio, che riguarda sempre la governance interna, è relativo alla gestione delle notifiche in caso di violazione di dati (data breach). Con il GDPR, è il Titolare che è chiamato a valutare la gravità dell’incidente per decidere se è necessario o meno notificare l’evento all’Autorità competente e ai soggetti interessati. Con la PIPL invece la notifica all’Autorità è sempre obbligatoria. Così come è sempre obbligatoria anche nei confronti dei soggetti interessati, salvo che il personal information handler sia in grado di dimostrare l’adozione di misure adeguate a mitigare ogni possibile danno per le persone (es. crittografia dei dati rubati).

Le sanzioni

Infine, anche le sanzioni rispecchiano la diversa ideologia della PIPL e la volontà del NPC di proteggere i dati in quanto asset strategico per il Paese.

La PIPL prevede infatti anche sanzioni pecuniarie (da €14.000 a € 140.000 circa) per le persone fisiche direttamente responsabili della violazione. Ad esempio, un amministratore delegato o un dirigente pubblico. A questo si aggiungono diverse sanzioni per le aziende, sia pecuniarie (fino al 5% del fatturato dell’anno precedente) che non, come la sospensione di tutte le attività e/o la revoca di licenze e permessi. Una sanzione questa, che potrebbe comportare gravi problemi soprattutto per chi fa affari con la Cina dall’estero, probabilmente anche più delle sanzioni pecuniarie.

Conclusioni

È indubbio che la PIPL sarà una nuova sfida per le aziende di tutto il mondo, che però dovrebbero essere preparate ad affrontarla grazie all’esperienza del GDPR. Come descritto sinteticamente in questo articolo è importante però avere ben presenti le differenze, sia culturali che pratiche, tra PIPL e GDPR. Sotto questo punto di vista è innegabile che la normativa per la protezione dei dati sta assumendo un ruolo sempre più globale e geopolitico. DPO che consulenti per la protezione dei dati non potranno più limitarsi a guardare soltanto all’Italia o all’Unione Europea, ma dovranno essere in grado di consigliare alle aziende la strada migliore tenendo in considerazione l’intreccio tra i diversi framework globali.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3