Protezione dei dati, cosa è cambiato in Cina dal primo novembre: gli adempimenti per le aziende - Agenda Digitale

China PIPL

Protezione dei dati, cosa è cambiato in Cina dal primo novembre: gli adempimenti per le aziende

Dal primo di novembre è entrata in vigore in Cina la nuova legge sulla protezione dei dati. Come dovranno mettersi in regola le società che operano in Cina? Gli adempimenti e le tecnologie per implementare le richieste della legge

09 Nov 2021
Marco Gervasi

Executive Director, Red Synergy Business Consulting

Il primo novembre, la Cina ha implementato la propria legge sulla protezione dei dati che si applicherà a qualsiasi società, basata in Cina o all’estero, che tratti dati di cittadini cinesi. Invece che due anni, come ha fatto l’Europa col Gdpr, la Cina ha concesso solo due mesi per adeguarsi.

La legge, di fatto, e è simile al Regolamento europeo per la protezione dei dati personali (Gdpr), attribuendo ai cittadini cinesi gli stessi diritti dei cittadini di altri paesi. Tuttavia, l’applicazione della legge cinese avverrà in un contesto molto diverso da quello occidentale.

Privacy, Pizzetti: “Il nuovo approccio cinese e l’importanza di un mercato unico digitale globale”

Recentemente, poi, la Cina ha messo in atto un enorme processo legislativo per dare valore e proteggere i dati. Questo sistema non si basa sui principi economici del sistema americano, né su quelli costituzionali del sistema europeo. Si basa sull’importanza strategica che i dati hanno per il governo e sulla stabilità sociale. I cittadini si avvarranno della legge non tanto perché una loro libertà è stata violata, ma perché un guadagno ingiusto è stato fatto nei loro confronti. In poche parole, un’azienda sta traendo beneficio dai dati più che il proprietario dei dati stesso. Con ogni probabilità, quello che i cittadini e il governo cercheranno è la possibilità di riequilibrare questa situazione affinché viga una “prosperità comune”.

Ne consegue che le società saranno tenute a conformarsi non tanto perché potrebbero violare un diritto se non lo facessero, ma perché ai cittadini cinesi sarà concesso uno strumento difensivo e offensivo. Le sanzioni previste non sono leggere. Sono previste multe fino a circa 6,5 milioni di euro o il 5% del reddito dell’anno precedente. i responsabili della protezione dei dati personali saranno soggetti, in alcuni casi anche personalmente, a sanzioni fino a circa 130 mila euro e all’inibizione dal ricoprire cariche dirigenziali per un determinato periodo.

Gli adempimenti documentali e tecnologici

Come dovranno mettersi in regola le società prima del primo di novembre? Gli adempimenti sono di due tipi: documentali e tecnologici. I documenti dovranno informare i soggetti oggetto del trattamento, ed i clienti nonché i dipendenti, di come verranno gestiti i loro dati, di che dati verranno raccolti e di tutte le altre attività. Occorrerà preparare quattro tipologie di documenti:

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
  • una privacy policy con contestuali politiche e procedure interne,
  • i contratti con i soggetti terzi a cui i dati saranno trasferiti o venduti,
  • una valutazione di impatto,
  • una privacy notice.

Le politiche e le procedure interne, ad esempio, dovranno contenere la modalità per adempiere all’esercizio dei diritti dei soggetti oggetto del trattamento. Queste politiche permetteranno di impartire ai propri dipendenti un’istruzione chiara e soddisfacente su come mettere in pratica la legge. I documenti avranno importanza per due motivi. Il primo è che informeranno i propri dipendenti su cosa fare ed il secondo è che ne daranno prova in caso di un audit da parte delle autorità.

Con riferimento ai contratti con parti terze, un esempio sarà il caso della condivisione dei dati con le società di digital marketing o con quelle di logistica per la consegna dei prodotti a magazzino. La società che raccoglie i dati dovrà siglare con entrambe dei contratti per la protezione dei diritti dei soggetti. Lo stesso varrà nel caso in cui una società straniera, basata in Cina, trasferisca i dati dei propri dipendenti al quartier generale. In tutti questi casi, andranno siglati degli addenda ai contratti esistenti per regolare la condivisione ed il trasferimento dei dati. Gli addenda andranno redatti bilingue, poiché, in caso di contestazione, le autorità vorranno esaminare la versione cinese.

Inoltre, nel caso di trasferimento di dati all’estero, la legge non ha ancora chiarito i contenuti dei contratti standard da porre in essere. Anche se non è ancora stato finalizzato il testo, allo stato attuale, l’implementazione di clausole contrattuali standard (SCC) è il metodo più conosciuto e affidabile per disciplinare il trasferimento. Anche in presenza di lacune, le autorità premieranno lo sforzo messo in atto dalle società per implementare la legge.

La valutazione di impatto

Con riferimento alla valutazione di impatto (impact assessment) questa dovrà contenere una indicazione dei rischi e delle modalità, in particolare quelle legate al trattamento automatizzato dei dati o all’uso dell’intelligenza artificiale. Il consiglio è che questa valutazione non sia preparata solo su di un file di excel. Sarà infatti necessario dare una dimostrazione dei processi di raccolta del consenso e di come vengono trattati i dati durante tutto il loro ciclo di vita. Infine, con riferimento alla privacy notice, tutti i soggetti i cui dati saranno raccolti dovranno essere informati sia digitalmente, che contrattualmente, di questa attività.

Quali tecnologie per far fronte al cambiamento

Per implementare le richieste della legge, le società dovranno utilizzare sistemi tecnologici efficaci. Un esempio sono le attività legate alla raccolta del consenso, nonché alla gestione delle richieste dei soggetti i cui dati sono trattati.

L’avvento delle nuove leggi sulla privacy negli Stati Uniti ha dato il via all’automazione dei processi di privacy. Un esempio sono le richieste di cancellazione dei propri dati che richiedono l’eliminazione non solo dal database di chi li stia trattando, ma anche da quelli dei soggetti terzi con cui i dati siano stati condivisi. Questo tipo di attività, nota come orchestrazione, normalmente richiede un dispendio notevole di ore e di forza lavoro, ma con l’avvento di nuovi software è stata risolta in pochi secondi. In Italia però la situazione è diversa. Molte società utilizzano ancora spreasheet e lavoro manuale per registrare il consenso, nonché per portare avanti le procedure di orchestrazione.

Cosa cambia per le aziende italiane

Cosa comporta un mercato come la Cina? In base ai dati di Alibaba pubblicati dopo il China Single Day del 2020, l’Italia si è classificata tra i primi 10 paesi per totale di vendite ai consumatori cinesi con circa 450 milioni di dollari. Attualmente sulle piattaforme di Alibaba sono presenti circa 900 milioni di consumatori. L’Italia esporta solo il 3% dei propri prodotti in Cina e si prevede che le vendite aumenteranno. I numeri sopra non lasciano dubbi alle dimensioni e alle richieste di cosa comporti conformarsi alla nuova legge sulla privacy. Basta solo che una società italiana di successo, come ad esempio i marchi della moda o del cibo, abbia migliaia di consumatori per arrivare facilmente a milioni di dati trattati.

Date le dimensioni del mercato cinese, utilizzare i sistemi attuali esporrà le società italiane al rischio di essere sanzionate perché non hanno i mezzi tecnici per conformarsi alla legge. Il numero elevatissimo di dati ed il livello di sofisticatezza ed esigenza dei consumatori cinesi, richiederà nuovi modelli di adempimento della privacy. Le società che trattano dati di cittadini cinesi dovranno fare un passo avanti, molto rapidamente.

Come procedere

Con l’entrata in vigore della legge, è probabile che inizialmente il focus delle autorità sarà sulle grosse entità cinesi. Alla fine, anche le società straniere, non basate in Cina, dovranno comunque adeguarsi. Ci sono alcune finestre temporali, ma nessuno può dire esattamente quando il governo presterà attenzione.

L’introduzione della legge cinese comporterà inesorabilmente un’innovazione di come verranno implementate e gestite le politiche di privacy. Questo avverrà per tre motivi: la fretta con cui la legge verrà implementata, le dimensioni del mercato cinese e la strategicità di questo nelle politiche di un’azienda.

Così come successo con l’entrata in vigore del GDPR, andremo incontro ad una nuova ondata di attività di compliance. Tuttavia, con molta probabilità, il budget che verrà allocato per la privacy, ora condiviso tra IT e parte legale, in Cina verrà condiviso anche dal marketing. Sono infatti molto temute le campagne diffamatorie che i consumatori cinesi riescono a mettere in atto quando si sentono traditi da un brand.

Con l’avvento della stabilità sociale, la gestione della privacy giocherà un ruolo molto importante nel costruire un rapporto con il consumatore basato sulla fiducia e sulla trasparenza. Le imprese che svolgeranno un lavoro di preparazione anticipato e che tratteranno le richieste di questa legge come un’opportunità saranno quelle a trarne maggiore beneficio e a trovare la loro prosperità.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3