Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Protezione e trasferimento dati verso la Cina: i limiti del Gdpr e come superarli

Il trasferimento di dati personali verso paesi terzi, o organizzazioni internazionali, se pur effettuato nel rispetto delle prescrizioni del Capo V del Gdpr realizza una tutela parziale dell’individuo e, quindi, necessiterà di alcuni correttivi che la possano rendere realmente efficace. Il caso della Cina

10 Ott 2019

Niccolò Felici

Security Advisory - Privacy Expert, NTT DATA


In Cina non trova cittadinanza, come in Europa, un unico e generale regime di protezione dei dati, bensì una serie di leggi di settore che, con riferimento alla materia oggetto di regolamentazione, prevedono sporadiche e assai generali disposizioni in tema di data protection.

Di seguito, prendendo come case study la Repubblica Popolare Cinese, mireremo a dimostrare come il trasferimento di dati personali verso paesi terzi, o organizzazioni internazionali, se pur effettuato nel rispetto delle prescrizioni del Capo V del Gdpr realizzi una tutela parziale dell’individuo, che, quindi, necessiterà di alcuni correttivi che la possano rendere realmente efficace (come ad esempio, le disposizioni di cui agli artt. 3 e 48 del Reg. UE 2016/679).

L’approccio europeo alla data protection

L’Europa, a partire dal secondo dopo guerra, in materia di data protection ha intrapreso un cammino netto e deciso che l’ha condotta, da un lato, a divenire il fulcro dello studio, dell’evoluzione e dell’affermazione del diritto alla protezione dei dati personali quale diritto fondamentale dell’uomo e, dall’altro, ad un’intensa attività legislativa sfociata, prima, nell’adozione della cosiddetta Direttiva Madre (Direttiva 95/46/CE) e, successivamente, del Regolamento generale sulla protezione dei dati [Reg. (UE) 2016/679].

In particolare, con quest’ultima normativa, il legislatore europeo ha deciso di cogliere le sfide relative alla privacy poste dalla società attuale e futura, ovverosia proteggere qualsiasi individuo da indebite intrusioni nella sua sfera di riservatezza e da trattamenti illeciti dei suoi dati da parte di attori pubblici e privati, senza tuttavia impedire a questi ultimi la facoltà di ricavare informazioni e conoscenze dall’analisi dei dati.

In un simile contesto, quindi, assume un’importanza fondamentale e centrale la realizzazione di un corretto bilanciamento tra protezione e circolazione del dato. Difatti, lo sfruttamento economico delle informazioni deve essere accompagnato da una parallela tutela dei soggetti a cui le stesse sono riferibili, soprattutto nei casi in cui i dati vengano trasferiti in paesi terzi in cui il contesto democratico, il rispetto dei diritti umani e, in particolare, la concezione di privacy siano diametralmente opposte o, comunque, molto differenti da quella europea.

Il sistema di data protection della Cina

Dall’analisi delle diverse normative emerge, innanzitutto, come nell’ordinamento cinese il diritto alla protezione dei dati personali[1], se pur formalmente previsto quale diritto di ogni cittadino, resta solamente un involucro giuridico privo di contenuti sostanziali. In definitiva, un diritto alla protezione dei dati personali è previsto e formalmente riconosciuto in diverse leggi di settore, ma, praticamente, non vi è alcuna possibilità di esercitarlo e/o applicarlo nell’ordinamento.

Una conferma di quanto appena evidenziato, può ricavarsi dagli artt. 110 -111 della General Rules on the civil law e dall’art 2 della Tort Liability law, nei quali il legislatore cinese, oltre al mero riconoscimento ad ogni cittadino di un “right of privacy” e all’obbligo di coloro che trattano i dati di raccoglierli e utilizzarli nel rispetto della legge, null’altro prevede.

Se pur è vero che i seguenti articoli sono inseriti all’interno della legge sulla responsabilità civile e nelle regole generali sulla legge civile, consentendo quindi di affermare che in caso di violazione del diritto alla privacy l’interessato può agire e ottenere tutela tramite una classica azione risarcitoria, è altrettanto incontrovertibile che, se anche fosse vero quanto appena sostenuto, l’interprete, a causa dell’indeterminatezza degli artt. 110 -111 della General Rules on the civil law e dall’art 2 della Tort Liability law, avrebbe comunque delle difficoltà a determinare quali siano “le leggi” da cui ricavare le condotte illecite realizzate nel trattamento dei dati personali e, di conseguenza, il danno patito a seguito di tali condotte, nonché l’entità del risarcimento che ne deriverebbe.

Proseguendo nell’analisi dei caratteri del sistema di data protection cinese, quest’ultimo presenta due ulteriori criticità:

  • la prima, nessuna delle leggi prese in esame identifica in maniera chiara e precisa, un’autorità di controllo che vigili sull’applicazione delle disposizioni in tema di protezione dei dati[2];
  • la seconda, conseguenza della prima, è che i singoli interessati in caso di trattamenti illeciti dei loro dati non sappiano a quali autorità pubbliche rivolgersi per esercitare i propri diritti.

A riprova di tale ultima circostanza, nei pochi casi in cui è prevista la facoltà dell’interessato di far valere i propri diritti, lo stesso sembrerebbe poterli esercitare solo ed esclusivamente inoltrando una richiesta ai soggetti privati che abbiano realizzato un trattamento illecito dei dati[3], senza possibilità alcuna di rivolgersi direttamente all’autorità amministrativa preposta al controllo del settore. In altre parole, il singolo potrà far valere i suoi diritti verso colui che tratta illegittimamente i suoi dati, ma, ove quest’ultimo non ottemperi, non avrà alcuna facoltà di rivolgersi ad un soggetto terzo e imparziale che possa intervenire tutelandolo.

Ancora, nell’analisi del sistema di data protection cinese, merita un cenno particolare la Network Security Law, che, pur essendo la legge che più dettagliatamente disciplina il trattamento dei dati delle persone fisiche, non ha quale scopo principale la tutela di questi ultimi e la creazione di un sistema di data protection nel settore cyber.

La legge, difatti, da un lato, mira a sviluppare un sistema in grado di consentire un controllo dei confini interni al fine di bloccare o evitare la nascita di possibili tumulti o tentativi di sovversione del potere e, dall’altro, di raccogliere dati commerciali (know-how, brevetti, ecc.) di società e imprese estere con lo scopo di colmare un gap tecnico e scientifico del proprio sistema economico industriale, in particolare rispetto agli Stati Uniti[4].

Emblematica in tal senso è la disposizione di cui all’art. 37 della Network Security Law, la quale, prevedendo sia la necessità di conservare tutti i dati personali e di business generati e raccolti nell’ambito delle attività di infrastrutture di informazioni chiave in territorio cinese, sia l’obbligo di trasferire al di fuori della Cina, per questioni di business, i dati personali e aziendali secondo le regole delineate dal dipartimento nazionale di informazione di internet, potrebbe legittimare, tenuto conto del regime politico e amministrativo cinese, un controllo indiscriminato di tutti i dati delle società straniere e delle persone fisiche ubicate nello Stato asiatico, con la doppia conseguenza di consentire alla Cina di acquisire sia del know-how industriale, sia informazioni di ogni genere e riferibili a chiunque si trovi nel suo territorio.

Proseguendo l’analisi generale del sistema di data protection, va infine evidenziato che lo studio delle diverse disposizioni relative alla protezione dei dati parrebbe escludere totalmente dall’ambito soggettivo di applicazione la pubblica amministrazione, la quale, nelle poche disposizioni che individuano obblighi e doveri dei data controller, non essendo mai menzionata, sembrerebbe non essere ricompresa tra i destinatari di tali norme. In ogni caso, quindi, indipendentemente dall’esistenza o meno di specifiche regole che disciplinino dettagliatamente e compiutamente la protezione e la circolazione dei dati personali, la pubblica amministrazione e le istituzioni cinesi non sembrerebbero dover sottostare a limiti e doveri di alcun genere nei trattamenti di dati personali da loro effettuati, potendo, conseguentemente, perpetrare continue e indebite violazioni della sfera privata delle persone.

In conclusione, ciò che emerge dalla breve analisi appena svolta, è che “the concept of rights is so weakly established and the rule of law is hostage to politics”. In altre parole, il sistema di data protection analizzato non è nient’altro che lo specchio e la fotografia del sistema amministrativo e politico cinese in cui tutti gli atti legislativi relativi alla privacy, anche quelli più dettagliati, non potranno che seguire altri e ulteriori scopi rispetto a quello di tutelare la sfera privata delle persone, obiettivo che, inevitabilmente, sarà posto in secondo piano.

Senza contare, inoltre, che l’assenza di autorità amministrative di controllo e di limiti all’esercizio nei trattamenti dei dati effettuati dal Governo centrale o, più in generale, dalla Pubblica Amministrazione sono il frutto di scelte politiche ben precise, le quali hanno lo scopo, neanche troppo velato, di consentire agli attori pubblici di invadere in ogni istante la sfera privata delle persone al fine di prevenire possibili attività di tradimento, separatismo, incitamento alla ribellione o all’eversione o al rovesciamento del regime di “dittatura democratica” del popolo da parte di forze interne o esterne. Sorveglianza di massa che, ovviamente, può realizzarsi grazie all’assenza di ogni vincolo normativo e legislativo a tutela delle persone fisiche, che, ove presente, potrebbe imbrigliare l’attività di controllo interna sulle strutture civili e sociali.

Il Capo V del Gdpr

Gli strumenti per il trasferimento dei dati al di fuori dell’Unione Europea

Descritto il quadro giuridico cinese in tema di data protection, è ora opportuno passare all’analisi dei principi e delle norme del GDPR e, in particolare, a quelle del Capo V.

Prima di cominciare, pare opportuno porre un’attenzione specifica ai due capisaldi che permeano il regolamento e che, particolarmente nella materia oggetto dell’elaborato, entrano in forte tensione: la circolazione dei dati e la protezione delle persone fisiche.

La tensione appena descritta è ravvisabile già nella norma di apertura del Capo V (art.44 del GDPR), nel quale il legislatore europeo consente il trasferimento dei dati e, quindi la loro circolazione, solo ed esclusivamente a condizione che i titolari e i responsabili del trattamento rispettino le condizioni ivi indicate, ossia quegli strumenti giuridici che garantiscono una protezione delle persone fisiche, nonostante i dati si trovino in paesi extra-Ue, equivalente a quella che essi avrebbero se fossero in Europa. Tuttavia, appare evidente che, al di fuori dei confini europei, la possibilità che i cittadini degli Stati membri possano essere tutelati come nell’UE sia tendenzialmente utopistica, soprattutto in paesi non considerati adeguati e nei quali manchino i più basilari principi di democrazia.

Il legislatore europeo, per risolvere tale empasse, pur non dando una definizione di trasferimento, all’art. 44, specifica che quest’ultimo possa avvenire verso paesi terzi, un suo territorio o uno o più settori specifici, o organizzazioni internazionali, ma, solo ed esclusivamente, alle condizioni di cui al capo V, ossia attraverso tre strumenti giuridici a tutele decrescenti, rispetto ai quali il bilanciamento tra protezione della persona fisica e circolazione del dato tende ad atteggiarsi diversamente, con prevalenza di un principio rispetto all’altro, a seconda dell’istituto giuridico utilizzato per trasferire i dati.

Il primo dei tre strumenti giuridici è la cosiddetta Decisione di adeguatezza della Commissione Europea, la quale, secondo gli elementi individuati dall’art. 45, par. 2, Reg UE 2016/679, valuta l’adeguatezza del livello di protezione garantito nel paese terzo, in un suo territorio o in uno o più settori specifici, o nell’organizzazione internazionale, decidendo se esista o meno un sistema di data protection in grado di garantire alle persone fisiche una tutela adeguata a quella europea.

Va evidenziata, tuttavia, come in questo caso la norma possa risultare singolare, in particolare nel caso in cui un paese non totalmente adeguato abbia, secondo la valutazione della Commissione, dei territori o uno o più specifici settori considerati adeguati rispetto agli standard europei[5].

La seconda base giuridica del trasferimento, ai sensi dell’art. 46, Reg. UE 2016/679, sono invece le garanzie adeguate, i cui presupposti applicativi sono, in primis, l’assenza di una decisione di adeguatezza di cui all’art 45 par. 3, Reg. UE 2016/679; in secondo luogo, l’esistenza di diritti azionabili e mezzi di ricorso effettivi a disposizione degli interessati; e infine, solamente per le fattispecie di cui al par. 3 dell’art. 46 del Reg. UE 2016/679 l’autorizzazione dell’autorità di controllo.

Infine, l’ultimo strumento per il trasferimento dei dati all’estero è costituito dalle deroghe di cui all’art. 49 del Reg UE 2016/679, le quali, essendo i mezzi giuridici meno adeguati a consentire una tutela della persona fisica in paesi Extra-Ue, sono da considerare un‘extrema ratio[6]. Diversamente ragionando, ossia consentendo il continuo trasferimento dei dati in paesi terzi secondo le deroghe di cui all’art. 49, si violerebbe la ratio del Capo V in quanto: in primis, se il legislatore europeo ha previsto una serie di strumenti a tutele decrescenti, allora, ove ne ricorrano i requisiti, sarà sempre e comunque necessario adottarli secondo l’ordine prestabilito al fine di garantire un corretto bilanciamento tra protezione e circolazione del dato extra-Ue; in secondo luogo, non sembrerebbe così difficile supporre che, nell’eventualità in cui manchi una decisione di adeguatezza di cui all’art. 45 par. 3, Reg. UE 2016/679 l’esportatore di dati, nel caso di trasferimenti continui e non sporadici, debba ricorrere alle garanzie adeguate di cui all’art. 46 del Reg, UE 2016/679 in quanto gerarchicamente superiori alle deroghe di cui all’art. 49, nonché, nel caso ad esempio delle Standard contractual clauses, di più facile e immediata applicazione e in grado di garantire un livello di tutela maggiormente adeguato, oltre che informazioni relative ai diritti e agli obblighi degli interessati più chiare, puntuali e trasparente.

Il trasferimento dei dati Ue-Cina

A seguito dell’analisi dei due sistemi, sarà quindi ora necessario verificare quale siano le soluzioni possibili per consentire il trasferimento dei dati in Cina.

Alla luce di quanto visto nel paragrafo precedente, analizzando la prima delle tre ipotesi, ossia la decisione di adeguatezza della Commissione Europea, il trasferimento dei dati è ammesso se il paese terzo, l’organizzazione internazionale o uno o più settori specifici all’interno del paese terzo garantiscano un livello di protezione adeguato. La Commissione, innanzitutto, dovrà verificare la sussistenza nello Stato terzo degli elementi di cui al par. 2 dell’art. 45, Reg. UE 2016/679 e se gli stessi, nel contesto socio-giuridico dell’ordinamento del paese terzo, garantiscano un livello di protezione delle persone fisiche “sostanzialmente equivalente” a quello europeo, ossia se non del tutto identico, almeno simile negli scopi e nei principi[7]. D’altronde, sarebbe utopistico supporre che tradizioni giuridiche, storicamente e culturalmente diverse, possano avere un sistema di protezione dei dati completamente identico tra di loro, potendo le stesse raggiungere i medesimi risultati di protezione e circolazione del dato anche tramite l’organizzazione di strutture statali e giuridiche, nonché l’adozione di leggi e provvedimenti, formalmente diverse, ma simili in termini di tutele, diritti, obblighi e principi per tutti i soggetti coinvolti nel trattamento dei dati.

Pertanto, alla luce di quanto fino ad ora affermato e tenuto conto della struttura politico-amministrativo e giuridica della Cina e che le deroghe di cui all’art 49, Reg. UE 2016/679 vanno considerate come un‘extrema ratio, l’unica soluzione per trasferire i dati fuori dall’Unione Europea alla Cina è quella di adottare le garanzie adeguate di cui all’art. 46 del Reg. UE 2016/679, in particolare le Standard contractual clauses, le quali, in un simile contesto, sembrano non solo maggiormente pratiche, ma anche in grado di garantire un giusto equilibro tra protezione dei dati personali e circolazione degli stessi.

Conclusioni

Il Legislatore europeo, con il Capo V del Regolamento e seguendo la strada tracciata dalla giurisprudenza della Corte di Giustizia Europea, prosegue in quel processo di riaffermazione della propria sovranità digitale e, al tempo stesso, di espansione del proprio sistema di data protection al dì là dei propri confini territoriali[8].

Gli artt. 3 e 48 del GDPR si ineriscono, poi, proprio in questa logica: il primo, ha quale scopo quello di estendere l’ambito di applicazione del regolamento a livello globale; il secondo, di evitare che in assenza di accordi internazionali tra gli Stati membri o l’UE e paesi terzi, i titolari del trattamento ubicati in questi ultimi possano comunicare o trasferire dati alle autorità pubbliche e/o amministrative degli stessi.

Tuttavia, pur tenuto conto del fatto che la protezione dei dati è e diverrà sempre di più un problema internazionale e che il legislatore europeo si sia quindi mosso nella direzione giusta, lo scopo di quest’ultimo, ossia garantire una tutela dell’interessato del trattamento in paesi terzi equivalente a quella europea, potrebbe non realizzarsi compiutamente.

Si pensi, ad esempio, ad una società ubicata solamente in Cina, che offra servizi di cui all’art. 3, par. 2, lett. a), Reg. UE 2016/679 e conservi i dati in server cinesi o europei e sia destinataria di un provvedimento delle proprie autorità giudiziarie e/o amministrative, le quali le ordinino di comunicare, nel primo caso, e di trasferire, nel secondo, i dati dalla stessa raccolti. La società, in assenza di un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro avente ad oggetto il riconoscimento di sentenze di un’Autorità giurisdizionale e le decisioni di un’Autorità amministrativa del paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento in tale Stato, si troverebbe così tra due fuochi, ossia da un lato, rispettare il regolamento europeo e, dall’altro, adempiere a quanto ordinato dalle autorità del proprio paese.

Da questo esempio emerge quindi che, se pur l’intento di estendere l’efficacia applicativa del Regolamento è lodevole, è altrettanto vero che la tenuta del sistema delineato dagli artt. 3 e 48 del Reg. UE 2016/679 dipenda fondamentalmente da due fattori tra di loro interconnessi:

  • il sistema di governo e i principi democratici del paese terzo in cui si trova colui che tratta i dati;
  • la volontà stessa del titolare o del responsabile del trattamento di adempiere alle prescrizioni del Reg. UE 2016/679 e non a quelle del paese extra-Ue, scelta che, naturalmente, sarà fortemente influenzata dal contesto politico, economico e democratico del paese in cui è ubicato.

Pertanto, l’unica soluzione attualmente percorribile per realizzare il suddetto scopo sembrerebbe essere quella di un rafforzamento degli strumenti del diritto internazionale.

Se bene la strada appena indicata, per diverse ragioni politiche ed economiche, sembra ancora molto lunga, le disposizioni di cui agli artt. 3 e 48 del Reg. UE 2016/679, insieme alle sanzioni previste dall’art. 83, Reg. UE 2016/679, potrebbero costringere le società multinazionali, e non solo, ad adeguarsi e rispettare le prescrizioni del Reg. UE 2016/679 nonostante i loro stabilimenti e/o sede legale si trovino al di fuori dei confini europei[9]. Resta indubbio che, anche ove gli attori del trattamento non rispettino la normativa europea, le attività di ispezione e controllo, nonché le decisioni della autorità giudiziarie o indipendenti degli Stati membri o dell’UE stessa, per i principi di sovranità e territorialità e/o in assenza di accordi tra Stati membri e terzi, difficilmente potranno trovare applicazione ed efficacia in questi ultimi.

Nonostante ciò, il Capo V del Regolamento e, in particolare, gli artt. 3 e 48 del Reg. UE 2016/679 possono rappresentare, se pur con tutti i loro limiti, un primo e importante passo verso una concezione globale e internazionale di protezione dei dati personali, che dovrà comunque essere integrata con gli strumenti del diritto internazionale in grado di superare le tutele locali e i rapporti bilaterali tra Stati, rendendo di fatto effettiva l’applicazione e l’attuazione dei principi fondamentali sanciti nell’art. 12 della Dichiarazione  Universale dei Diritti Umani[10].

_____________________________________________________________________________

  1. Per la descrizione dell’ordinamento cinese si veda De Hert – Papakonstantinou, The data protection regime in China, in Directorate General for Internal policies. Policy Department C: Citizens rights and constitutional affairs, 2015; Sacks, China’s emerging data privacy system and GDPR, in CSIS. Center for strategic & international studies, 2018.
  2. Le autorità amministrative predisposte al controllo su trattamento dei dati sono individuate in modo assai generico, ossia attraverso semplici locuzioni quali “authority” o “relevant competent authority” non consentendo così di chiarire chi siano i soggetti pubblici che abbiano compiti di controllo e vigilanza sul settore.
  3. Va precisato che ci si riferisce alla Network Security Law, la quale, ai sensi dell’art. 43, sancisce che l’interessato può rivolgersi all’operatore di rete, ove accerti che lo stesso abbia trattato i dati in violazione di leggi o atti amministrativi o dell’accordo tra le parti, per ottenere la cancellazione o la correzione delle informazioni.
  4. Mele, Cina – focus su nuovo approccio politico-strategico e normativo in materia di sicurezza cibernetica, in Cyber strategy e Policy Brief, vol. 11/12, 2016.
  5. Un esempio potrebbero essere gli Stati Federali.
  6. Gruppo di Lavoro articolo 29 per la protezione dei dati, Documento di lavoro su un’interpretazione comune dell’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995, wp 114, 2005.
  7. Principio affermato dalla Corte di Giustizia, il 6 ottobre 2015, causa C-362/14, Schrems c. Data Protection commissioner Ireland, (Grande sezione).
  8. Zeno-Zencovich, Intorno alla decisione nel caso Schrems: la sovranità digitale e il governo internazionale delle reti di telecomunicazione, in AA. VV. La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Giorgio Resta-Vincenzo Zeno- Zencovich (a cura di), Roma, 2016
  9. Sul tema si veda, Franklin, The Microsoft-Ireland Case: A Supreme Court Preface to the Congressional Debate, in Lawfare, 2018.
  10. Resta, La sorveglianza elettronica di massa e il conflitto regolatorio USA/UE, in AA. VV. La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Giorgio Resta-Vincenzo Zeno-Zencovich (a cura di), Roma, 2016.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4