La Legge sulla Protezione dei Dati Personali in Cina: Considerazioni Tecniche per le Imprese
La Cina ha pubblicato recentemente il testo completo della Legge sulla Protezione dei Dati Personali, attesa da tempo. Con l’avvicinarsi della data di entrata in vigore della legge, forniamo alle aziende una panoramica di considerazioni tecniche per essere in conformità alla legge, e illustriamo le sue potenziali insidie ed alcuni consigli sulle funzionalità da progettare ed applicare ai sistemi IT esistenti.
Il 20 Agosto la Cina ha pubblicato il testo finale della Personal Information Protection Law (PIPL), la prima legge di questo tipo mai approvata nel Paese. Con questa nuova legge, in vigore dal 1 Novembre 2021, insieme alla Data Security Law ed alla Cybersecurity Law, la Cina ha costruito un ampio contesto legislativo sulla sicurezza e la protezione dei dati personali.
Possiamo prevedere che queste leggi avranno un effetto notevole sulle attività economiche in Cina, con particolare riferimento alla gestione della sicurezza e della privacy, proprio come il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) ha nel resto del mondo. Essa porterà inoltre ulteriori sfide per le aziende estere che operano in Cina.
In questo articolo presentiamo una prospettiva tecnica dei concetti fondamentali della legge e delle clausole principali, fornendo alcuni suggerimenti per la costruzione di sistemi IT conformi che le aziende straniere possono prendere in considerazione.
Considerazioni tecniche per la conformità con la PIPL
Chi conosce il GDPR, non sarà sorpreso dai principi generali della PIPL che sono i medesimi. In altre parole, la PIPL ha “preso in prestito” alcuni concetti del GDPR, sebbene ci siano alcune minime differenze. Per essere conformi con la PIPL, le aziende devono fare alcune considerazioni tecniche, riguardanti in particolar modo l’infrastruttura IT e la progettazione ed applicazione dei sistemi. Di seguito elenchiamo alcune considerazioni degne di nota per rendere i sistemi IT conformi alla legge.
Considerazioni per la progettazione di infrastrutture IT
Molte società straniere operanti in Cina, ancora prima di entrare nel Paese, hanno costituito un’infrastruttura IT solida ed universale, sia in sede che su cloud. L’utilizzo della medesima piattaforma per le operazioni in Cina, pertanto, risulta spesso una scelta ovvia.
L’Articolo 40 della PIPL prevede che i dati personali raccolti e generati da “operatori di infrastrutture informatiche critiche (CII) e da processori di informazioni personali che elaborano informazioni personali in quantità stabilite dalla Cyberspace Administration of China” devono essere conservati in Cina. Questi requisiti di localizzazione dei dati impongono alle aziende di considerare l’implementazione di un’infrastruttura IT autonoma per le loro attività economiche in Cina.
Nonostante la PIPL indichi che il superamento di “una valutazione della sicurezza, organizzata dalla Cyberspace Administration of China” possa agire come “luce verde” per il trasferimento transfrontaliero delle informazioni personali, secondo la nostra interpretazione, nella pratica ci saranno ancora grandi sfide in quanto non è ancora stata pubblicata nessuna guida operativa o procedura in merito. La recente revisione della sicurezza di Didi, il colosso cinese del trasporto a noleggio, è il primo caso di valutazione della sicurezza in Cina; questo processo di revisione della sicurezza, tuttavia, non si è concentrato esclusivamente sulla protezione delle informazioni personali.
Per quanto riguarda il trasferimento transfrontaliero dei dati, è importante notare che anche se i dati vengono conservati in Cina in un’infrastruttura IT autonoma, saranno comunque trattati come trasferimento transfrontaliero qualora i dati stessi possano essere accessibili in remoto dall’estero. È fondamentale che il dipartimento IT di un’azienda ne tenga conto in fase di progettazione dell’infrastruttura IT.
Considerazioni per il design dell’applicazione
La PIPL riconosce diversi diritti sull’uso delle informazioni personali, alcuni dei quali prevedono che le aziende tengano in conto alcune particolari considerazioni nella progettazione ed applicazione dei loro sistemi informatici.
Indichiamo di seguito alcuni dei principali articoli di cui tenere conto.
Processo decisionale e profilazione automatica: L’Articolo 24 prevede che il responsabile del trattamento dei dati fornisca agli utenti un’opzione alternativa o la possibilità di rifiutare il trattamento dei propri dati personali con finalità di marketing ovvero per la fornitura delle informazioni attraverso meccanismi decisionali automatizzati. Questo significa che il sistema necessita di poter ricevere il feedback degli interessati per l’esclusione di alcuni di essi dai meccanismi decisionali automatizzati; questo richiede determinate considerazioni nella progettazione del sistema. Prevediamo che, per i grandi servizi di marketing basati sui dati, sarà difficile trovare un equilibrio tra la raccolta di enormi quantità di informazioni personali per la loro analisi e l’implementazione del processo decisionale automatico e la protezione dei diritti degli individui.
Richiesta, copia, correzione e cancellazione dati personali: Gli articoli dal 45 al 47 stabiliscono i diritti delle persone di informarsi su quali dati personali vengono raccolti e conservati dal responsabile del trattamento. Consentono inoltre agli utenti di richiedere una copia dei propri dati personali, di correggere quelli inesatti e di cancellare le informazioni personali al momento del recesso dal consenso o alla fine dell’utilizzo del prodotto o del servizio. Le aziende pertanto devono valutare come trovare velocemente i dati personali degli utenti all’interno del sistema IT e definire il modo di estrazione e consegna dei dati all’utente. Devono inoltre prevedere il modo di rendere indipendente il file di ogni utente per essere certi che la cancellazione del record di un utente non abbia impatto su altri dati esistenti o in uso.
Alcune cose da tenere presenti:
- Il diritto di cancellazione prevede che l’azienda disponga di una piattaforma universale per l’archiviazione dei dati personali, in modo che i dati possano essere facilmente localizzati e cancellati da tutte le posizioni. Un problema comune che può emergere nella pratica è che i dati vengano cancellati solo dal sistema live mentre una copia viene trattenuta nel sistema di backup. Bisognerebbe prevedere un sistema di conservazione predefinita secondo il quale i dati vengono cancellati automaticamente una volta scaduti: una valida soluzione per essere conformi con i requisiti dell’Articolo 47(1). Il responsabile del trattamento dei dati dovrebbe cancellare proattivamente i dati una volta che il periodo di conservazione concordato sia finito o che il motivo del trattamento dei dati sia stato raggiunto.
- Anche le aziende devono progettare un meccanismo ragionevole di autenticazione per riconoscere con accuratezza l’utente che fa richiesta o chiede copia, aggiornamento o cancellazione dei dati. Per ‘ragionevole’ si intende in equilibrio tra la raccolta di informazioni sufficienti per l’identificazione personale e la copertura dei maggiori rischi associati alla responsabilità di grandi quantità di dati potenzialmente sensibili. In un recente caso, un hacker è riuscito a chiedere l’aggiornamento delle informazioni di contatto di un altro utente cambiando il numero di telefono dello stesso con il proprio. L’hacker ha quindi utilizzato il numero di telefono per autenticare l’identità della vittima, cambiare la password del suo account ed infine ottenere il totale accesso ai dati della vittima. Questo caso dimostra la criticità legata all’autenticazione di un individuo quando si riceve una richiesta.
- L’Articolo 49 stabilisce anche che i diritti di un individuo siano esercitati dal suo parente più prossimo quando la persona fisica muore. Questo rappresenta una sfida ancora più grande per i responsabili dei dati, che devono anche essere in grado di riconoscere e autenticare il parente più prossimo di un utente.
Separazione e mascheratura dei dati: Le aziende devono prendere in considerazione tecniche di separazione dei dati personali sensibili in sistemi o banche dati diversi, o, almeno, in tabelle diverse della stessa banca dati. Questo aiuta a ridurre il rischio di condivisione o di accesso a record completi di dati personali quando il motivo del trattamento richieda l’accesso ad una sola parte del record stesso.
Un impiegato dell’area servizio clienti, ad esempio, responsabile di un’indagine presso i clienti, necessita solamente dei dati di contatto del cliente (telefono e e-mail). Non ha bisogno di accedere all’intero record relativo al cliente, che potrebbe contenere dati sensibili come il suo indirizzo o i dati della sua carta di credito.
L’occultamento dei dati è un altro buon sistema per nascondere le informazioni sensibili consentendo al personale di accedere ad altri dati non sensibili. Sia la mascheratura che la separazione dei dati personali sono metodi che dovrebbero essere tenuti in considerazione nella progettazione ed applicazione al Sistema IT, in quanto le modifiche al sistema, una volta implementato, possono risultare difficili e costose.
Considerazioni per la progettazione di un’interfaccia per la privacy
Per la protezione dei diritti degli utenti e l’implementazione dei principi sulla privacy, è importante disporre di un’interfaccia per la privacy pratica ed intuitiva. Un’interfaccia per la privacy rende trasparente per gli utenti il ciclo di vita dei dati, consentendo loro di controllare quali dati vengono usati, come sono trattati, e fornendo l’accesso ad una copia dei dati raccolti. Le disposizioni della PIPL richiedono alle aziende di prendere in particolare considerazione la progettazione di interfacce per la privacy.
Di seguito alcuni requisiti chiave:
Opt-in invece di opt-out: Diverse clausole della PIPL richiedono l’esplicita fornitura del consenso al responsabile del trattamento dei dati, da parte dell’utente, e richiedono inoltre un consenso separato in particolari situazioni. Questo significa che l’interfaccia per la privacy dovrebbe utilizzare una strategia opt-in e proporre la scelta ed il controllo all’utente ai fini del suo consenso. Durante la progettazione del sistema, si può prevedere una finestra pop-up che fornisca una spiegazione e richieda il consenso dell’utente quando è necessario un consenso separato legato ad uno specifico servizio.
Rifiuto del servizio: L’Articolo 16 prevede che se un utente non consente l’utilizzo dei propri dati personali o ne ritira il consenso, chi tratta i dati non può rifiutare l’accesso al prodotto o al servizio a meno che il trattamento dei dati personali sia necessario per fornire il prodotto o il servizio stessi. Questo articolo affronta una tendenza comune fra le applicazioni mobili che prevede ulteriori vantaggi come l’accesso al microfono e alla fotocamera di uno smartphone, al GPS, ai file e alla rubrica, e persino ai messaggi, anche se solo una o due funzioni di base sarebbero necessarie per fornire il servizio principale, e le altre verrebbero utilizzate solo occasionalmente per altri servizi non fondamentali. Secondo i nuovi regolamenti, le app mobili non possono rifiutare all’utente l’accesso ai servizi di base se questo non consente l’utilizzo di informazioni personali aggiuntive non richieste per fornire il servizio principale. In breve, il metodo “tutto-o-niente” impiegato da molte app non è conforme alla PIPL. La progettazione dell’interfaccia per la privacy, pertanto, deve considerare l’aggiunta di note o scelte separate sulla privacy, in base al servizio offerto agli utenti.
Progettazione del consenso separato: L’Articolo 23 richiede ai responsabili del trattamento dei dati l’ottenimento di un “consenso separato (non generale)” prima di condividere i dati personali con terze parti. L’Articolo 29 richiede ai responsabili del trattamento dei dati l’ottenimento di un consenso separato da parte dell’utente quando tratta dati personali sensibili. La portata dei “dati personali sensibili” nella PIPL è molto più ampia che nel GDPR – informazioni finanziarie, registrazioni di transazioni e tracciamento della posizione sono tutti considerati come dati personali sensibili. Il consenso separato viene richiesto anche per la condivisione di dati personali con soggetti esterni alla Cina, come specificato nell’Articolo 39. Per essere conformi con questi requisiti legali, oltre alla richiesta di consenso generale, necessaria prima che l’utente inizi a utilizzare il servizio, le aziende devono considerare l’inserimento di un’opzione o di una finestra di consenso indipendente per le circostanze di cui sopra.
Ritiro del consenso: L’Articolo 15 richiede ai responsabili del trattamento dei dati di “fornire agli utenti una modalità pratica per il ritiro del consenso”. Questa clausola non appariva nella prima stesura della PIPL, ma è stata introdotta nella seconda bozza e mantenuta nella versione finale. Di conseguenza, il responsabile del trattamento deve prevedere la predisposizione di una modalità semplice e chiara per il ritiro del consenso da parte degli utenti, come, ad esempio, una facile de-registrazione del proprio account di servizio. Questo è stato un punto chiave per il Ministero dell’Industria e della Tecnologia dell’Informazione (MIIT) nelle sue ispezioni di conformità delle app mobili degli ultimi anni. A causa della mancanza di conformità, per molte app mobili è stata imposta la correzione o la cancellazione dagli app store mobili.
Considerazioni sulle misure di sorveglianza
I dati biometrici, come quelli utilizzati per il riconoscimento facciale e le impronte digitali, sono considerati dati personali sensibili. Richiedono pertanto procedure di trattamento e protezione speciali, incluso il consenso separato descritto nella sezione precedente. Il responsabile del trattamento dei dati deve tenerlo ben presente nell’implementazione delle misure di controllo.
Di seguito, alcuni aspetti chiave di cui tenere conto:
Riconoscimento facciale: Questa è un’area di estrema importanza per il legislatore cinese. Il 27 luglio 2021 la Suprema Corte del Popolo ha pubblicato un’interpretazione giuridica sull’uso delle tecnologie di riconoscimento facciale per il trattamento dei dati personali, che richiede alle aziende di “divulgare le regole per il trattamento dei dati facciali ed indicare espressamente il motivo, il metodo e l’ambito del trattamento”. L’interpretazione giuridica vieta inoltre l’utilizzo del “consenso generalizzato (per il trattamento delle informazioni facciali dell’utente) con ogni altra autorizzazione”. La violazione di questa clausola sarebbe considerata come una “violazione dei diritti e degli interessi della personalità di una persona fisica”. I responsabili del trattamento dei dati pertanto devono prevedere la creazione di avvisi sulla privacy distinti per la divulgazione delle informazioni relative al riconoscimento faciale e l’ottenimento di un consenso separato esplicito per il trattamento delle informazioni facciali, come descritto precedentemente nella sezione riguardante la progettazione dell’interfaccia per la privacy. Inoltre, se il riconoscimento facciale è attualmente l’unica opzione di autenticazione, dovrebbe essere prevista un’opzione alternativa. Le aziende che hanno obbligato gli utenti ad accedere ad un sistema, a entrare in un ufficio o a registrare le presenze usando il riconoscimento facciale senza offrire alcuna alternativa, negli ultimi anni, sono finite sotto tiro e questa clausola mira a far fronte a tali abusi di informazioni personali.
Impronte digitali: Come per il riconoscimento facciale, l’uso delle impronte digitali per l’autenticazione ha un campo di applicazione molto più ampio ed è largamente usato per l’ingresso in edifici ed uffici. Come con il riconoscimento facciale, le informazioni sulle impronte digitali ricadono nella categoria dei dati personali sensibili e sono pertanto soggette alle stesse misure e considerazioni del riconoscimento facciale.
CCTV: Per motivi di sicurezza, è pratica comune dislocare telecamere a circuito chiuso intorno o all’interno di uffici, fabbriche e altri luoghi di lavoro. I dati derivanti dal monitoraggio delle telecamere a circuito chiuso dovrebbero essere gestiti correttamente, con l’autorizzazione di accesso ai dati consentita solo ad un limitato numero di persone. Ancora più importante, i dati raccolti dalle telecamere a circuito chiuso dovrebbero essere utilizzati solo per scopi espliciti, come la sicurezza, e non possono essere utilizzati con altre finalità, come i servizi di marketing. I responsabili del trattamento dei dati dovrebbero adottare politiche predefinite di regolamentazione dell’uso e dell’accesso ai dati della CCTV, specialmente per i sistemi CCTV che trasmettono i dati via etere a un fornitore esterno.
Considerazioni per la raccolta dei dati da terze parti
La Legge sulla Sicurezza dei Dati (DSL), in vigore dal 1 settembre 2021, richiede che i responsabili del trattamento, rispondano della legittimità dei dati ottenuti da terze parti.
Esiste una comune pratica aziendale di “richiamo” o integrazione di SDK esistenti altrove nell’applicazione mobile Android per fornire migliori servizi agli utenti, come l’utilizzo di un SDK di autenticazione di terze parti per abilitare il singolo accesso (SSO).
Si tratta di un modo semplice per ottenere nuove funzionalità o migliorare le caratteristiche di un’app senza spendere ulteriore tempo e denaro nello sviluppo interno. Comunque questa pratica lascia scoperto il rischio che l’SDK della terza parte possa raccogliere dati personali trasferendoli all’esterno, talvolta all’insaputa dell’utente o dell’operatore dell’app mobile.
Il responsabile della protezione dei dati dovrebbe operare un’attenta due diligence sul SDK della terza parte per garantire la propria sicurezza e conformità prima di adottarla come strumento di lavoro. Dovrebbero essere resi noti agli utenti anche le informazioni, sul SDK della terza parte, il motivo del suo utilizzo e le finalità di raccolta dei dati personali.
Protezione dei diritti degli utenti attraverso sistemi informatici conformi
La PIPL limita notevolmente l’abuso dei dati che ha afflitto per anni i consumatori cinesi e cerca di proteggere i diritti degli utenti alla privacy e al controllo dei loro dati personali.
Considerando le recenti misure repressive sulle applicazioni mobili e sui provider di servizi online, riteniamo che la PIPL verrà applicata rigorosamente.
La conformità alla legge è quindi, ora più che mai, un requisito fondamentale. In Cina, considerato il contraccolpo pubblico per l’uso improprio dei dati, avere pratiche eque e trasparenti sul trattamento dei dati è essenziale anche per mantenere un sano rapporto con i propri clienti e la propria utenza.
Per raggiungere questo obiettivo, è fondamentale creare un ambiente IT conforme. Speriamo che l’elenco di alcuni dei problemi comuni alle aziende possa aiutare ad accrescere la consapevolezza dei requisiti e che le aziende si adoperino prontamente per proteggere i dati personali dei propri utenti.
Nei prossimi mesi continueremo a pubblicare nuovi articoli con suggerimenti sui procedimenti e le best practice riguardanti la conformità alla PIPL ed altre leggi sulla sicurezza dei dati.
China Briefing è prodotta da Dezan Shira & Associates. Con uffici in Cina, Hong Kong, Vietnam, India, Indonesia, Singapore, Germania, Italia, Stati Uniti e Russia, Dezan Shira supporta gli investitori stranieri in Asia da tre decenni.
Hai una domanda su come fare affari in Asia? Contattateci all’indirizzo italiandesk@dezshira.com, o visitateci qui.
- Previous Article Guangdong’s Pilot Program on Chief Data Officer: Accelerating Digitalization and Achieving Better Data Protection
- Next Article The Personal Information Protection Law in China: A Legal Analysis