HOME

/

DIRITTO

/

PRIVACY 2021

/

PROGETTO CINESE DI "LEGGE SULLA PROTEZIONE DEI DATI PERSONALI"

Progetto cinese di "Legge sulla protezione dei dati personali"

Presentato in Cina il primo testo organico in materia di protezione dei dati personali che viene sottoposto a una pubblica consultazione prima di esser approvato. I punti salienti

La repubblica polare cinese ha sottoposto in consultazione una bozza di legge in materia di protezione dei dati personali.

Si tratta di un primo passo mirante a ricondurre una miriade di norme e disposizioni attualmente in vigore nel paese asiatico all’interno di un unico corpo normativo.

Il testo di legge prende in esame anche il delicato tema rappresentato dal trasferimento transfrontaliero dei dati personali (oggi di estrema attualità a seguito della cd sentenza Schrems II).

Per approfondimenti sul trasferimento di dai personali all’estero si rinvia ad approfondimenti:

Privacy e trasferimeno dati verso Paesi terzi

"Scudo privacy", il Garante autorizza il trasferimento dei dati negli Usa

A tale riguardo il trasferimento transfrontaliero dei dati è rimesso alla decisione che il Governo prenderà caso per caso.

Da una prima sommaria lettura del testo, che è estato fornito dal governo cinese anche in versione inglese (per una consultazione del testo integrale si rinvia al seguente link: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/) è evidente come il legislatore asiatico si sia rifatto al testo della comunità europea, contenuto nel Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Ciò lascia ben sperare per il futuro anche se non può essere sottaciuto che la lettura del testo deve essere contestualizzata all’interno del perimetro normativo cinese ( a partire dalla legge sulla cybersicurezza del 2016 con la quale il governo cinese ha inteso anche tutelare i dati dei cittadini, soprattutto riguardo ai trattamenti posti in essere dai fornitori di servizi online) e deve avvenire utilizzando categorie giuridiche che non sono quelle retaggio della cultura giuridica del’Occidente.

Per la lettura del testo integrale si rinvia al seguente link https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/

Le finalità sottese alla introduzione di una legge in materia di trattamento dei dati personali è esplicitata nell’articolo 1 ove si legge che questa legge è formulata al fine di proteggere i diritti e gli interessi delle informazioni personali, standardizzare le attività di trattamento delle informazioni personali, salvaguardare il flusso legale, ordinato e libero delle informazioni personali e stimolare l'uso ragionevole delle informazioni personali.

E’ riconosciuto valore giuridico alla protezione dei dati, per cui le informazioni personali delle persone fisiche ricevono protezione legale; nessuna organizzazione o individuo può violare i diritti e gli interessi relativi alle informazioni personali delle persone fisiche.

Per quanto attiene alla individuazione dei soggetti destinatari di tale legge, si chiarisce che la presente legge si applica alle organizzazioni e alle persone che gestiscono le attività di informazioni personali di persone fisiche entro i confini della Repubblica popolare cinese.

L'articolo continua dopo la pubblicità

Ti potrebbe interessare l'e-book  Tutela della Privacy - (Pacchetto 2 eBook)

1) Definizione di dato personale

La definizione di dato personale è piuttosto estesa e vi si fa ricomprendere tutti i tipi di informazioni registrate con mezzi elettronici o altri mezzi relativi a persone fisiche identificate o identificabili, escluse le informazioni anonimizzate.

La gestione delle informazioni personali include la raccolta, l'archiviazione, l'utilizzo, l'elaborazione, la trasmissione, la fornitura, la pubblicazione e altre attività simili di trattamenti personali.

Il trattamento dei dati personali deve avvenire nel rispetto dei principi di liceità, appropriatezza e sincerità, ed è vietato gestire le informazioni personali in modo fraudolento, fuorviante o in altri modi simili.

Va operata una stretta connessione fra il trattamento e lo scopo per il quale i dati sono trattati per cui il trattamento non può eccedere dallo scopo, che deve essere chiaro e ragionevole. È vietato condurre operazioni di trattamento delle informazioni personali estranee allo scopo del trattamento.

Le informazioni da fornire ai soggetti, così come le stesse regole, devono essere devono essere chiare.

Il trattamento delle informazioni deve essere tale da garantirne l’accuratezza e l’aggiornamento tempestivo.

Profili di responsabilità

La responsabilità in merito alle operazioni di trattamento incide sui gestori delle operazioni stesse, così come su di essi gravano i profili di responsabilità riguardo all’applicazione delle necessarie misure di sicurezza.

Risalto viene dato agli ambiti rappresentati dalla sicurezza nazionale e dall’interesse pubblico che sono oggetto di tutela pertanto è vietato (alle organizzazioni o alla singola persona fisica) trattare dati personali violando le disposizioni di leggi e regolamenti amministrativi, o danneggiando la sicurezza nazionale o l'interesse pubblico.

Autority nazionale

E’ prevista la creazione di un organismo statale (presumibilmente sulla falsariga delle Autorità nazionali che in Europa presiedono alla tutela dei dati personali) con il fine di prevenire e punire atti che ledono i diritti e gli interessi delle informazioni personali, rafforzare la propaganda e l'educazione sulla protezione delle informazioni personali e promuovere la creazione di un buon ambiente per la protezione delle informazioni personali, con la partecipazione congiunta del governo, imprese, organizzazioni di settore pertinenti e pubblico in generale.

La Repubblica Popolare Cinese si ritaglia anche un ruolo internazionale per la elaborazione di norme internazionali per la protezione delle informazioni personali, stimola lo scambio internazionale e la cooperazione nel settore della protezione delle informazioni personali e promuove il riconoscimento reciproco delle norme e degli standard sulla protezione delle informazioni personali, con altri paesi, regioni e organizzazioni internazionali.

Basi di legittimità.

Il secondo capitolo del testo disciplina le Regole per il trattamento delle informazioni personali, individuando, le basi che legittimano il trattamento dei dati, che sono: il consenso degli individui; la conclusione o l’adempimento di un contratto di cui l'interessato è parte; per adempiere a doveri e responsabilità legali o obblighi di legge; per rispondere a incidenti di salute pubblica improvvisi o proteggere la vita e la salute delle persone fisiche, o la sicurezza della loro proprietà, in condizioni di emergenza. Ulteriori condizioni di legittimità sono: l’esercizio dell’attività giornalistica, altre attività (non specificate dal legislatore) sorrette da un interesse pubblico; altre circostanze previste da leggi e regolamenti amministrativi.

Il consenso al trattamento delle informazioni personali deve poggiare su una dichiarazione di volontà, informata ed esplicita, e va richiesto in tutti i casi in cui sia previsto da una norma (legge o regolamento amministrativo). Qualora si verifichi un cambiamento nello scopo del trattamento delle informazioni personali, nel metodo di trattamento o nelle categorie di informazioni personali trattate, il consenso dell'individuo deve essere nuovamente ottenuto.

Viene riconosciuta una tutela aggiuntiva nei confronti dei minori di quattordici anni di età i cui dati vengono trattati, per cui si impone a chi tratta i loro dati di ottenere il consenso del loro tutore.

E’ prevista la possibilità di revoca del consenso.

I gestori di informazioni personali non possono rifiutarsi di fornire prodotti o servizi sulla base del fatto che un individuo non acconsente al trattamento delle proprie informazioni personali o revoca il proprio consenso al trattamento delle informazioni personali, tranne quando il trattamento delle informazioni personali è necessario per la fornitura di prodotti o servizi.

2) Informativa

Chi tratta i dati personali, prima di iniziare il trattamento stesso, ha l’onere di notificare, ricorrendo a un linguaggio chiaro e comprensibile, i seguenti elementi: l'identità e il metodo di contatto del gestore dei dati personali; lo scopo del trattamento dei dati personali e le modalità di trattamento; le categorie di dati personali trattati e il periodo di conservazione; i metodi e le procedure con cui le persone possono esercitare i diritti previsti dalla presente Legge; altri elementi previsti da leggi o regolamenti amministrativi devono essere comunicati. Vanno, altresì, comunicate eventuali modifiche di uno o più degli aspetti sopra richiamati.

Le prescrizioni contenute nel precedente articolo non trovano applicazione nelle ipotesi in cui le leggi o i regolamenti amministrativi prevedono che la segretezza sia mantenuta o la notifica non sia necessaria. Così come, in situazioni di emergenza, dove è impossibile informare le persone in modo tempestivo al fine di proteggere la vita, la salute e la sicurezza delle persone fisiche, i gestori delle informazioni personali devono informarle dopo la conclusione dello stato di emergenza.

Data retention.

La conservazione dei dati deve essere strettamente correlata al tempo necessario a raggiungere gli scopi che sono alla base del trattamento delle informazioni. A meno che le leggi o i regolamenti amministrativi prevedano diversamente in merito ai periodi di conservazione delle informazioni personali.

Trattamento posto in essere congiuntamente da due o più responsabili

E’disciplinata l’ipotesi in cui il trattamento sia posto in essere da due o più responsabili, che decidono congiuntamente uno scopo e un metodo di trattamento dei dati personali, concordando anche i diritti e gli obblighi di ciascuno. Tuttavia, detto accordo non influenza i diritti di un individuo di richiedere che un qualsiasi gestore di informazioni personali esegua le prestazioni ai sensi delle disposizioni della presente legge. L’articolo in esame prevede una responsabilità in solido in capo ai responsabili del trattamento che gestiscono congiuntamente le informazioni personali e violano i diritti e gli interessi delle persone.

3) Esternalizzazione del trattamento.

Si prende in esame il caso in cui i responsabili del trattamento delle informazioni personali ricorrono alla esternalizzazione del trattamento stesso e viene imposta la conclusione di un accordo con il soggetto terzo che dovrà regolamentare lo scopo del trattamento affidato, il metodo di trattamento, le categorie di informazioni personali, le misure di protezione, nonché i diritti e doveri di entrambe le parti, ecc. Resta in capo ai responsabili del trattamento l’obbligo di controllare il trattamento effettuato dal terzo. Le parti incaricate gestiranno le informazioni personali secondo l'accordo; non potendo trattare le informazioni personali per finalità di trattamento o modalità di trattamento, eccedenti il contratto; e dopo che il contratto è stato adempiuto e completato o il rapporto di affidamento sciolto, dovranno restituire le informazioni personali al gestore dei dati personali o cancellarle. Senza il consenso del responsabile del trattamento dei dati personali, una parte incaricata non può ulteriormente affidare il trattamento dei dati personali ad altre persone.

Processo decisionale automatizzato

Adeguato rilievo è dato anche all’ipotesi in cui il trattamento delle informazioni personali avvenga ricorrendo a un processo decisionale automatizzato (con particolare riferimento a chi tratta dati per finalità commerciali), che dovrà essere trasparente e garantire l'equità e la ragionevolezza del risultato del trattamento. Laddove una persona ritenga che il processo decisionale automatizzato eserciti un forte impatto sui propri diritti e interessi, ha il diritto di richiedere ai gestori delle informazioni personali di ottenere informazioni aggiuntive e specifiche sul grado di invasività del processo e ha il diritto di rifiutare che i gestori delle informazioni personali prendano decisioni esclusivamente attraverso metodi decisionali automatizzati.

Videosorveglianza

Il trattamento dei dati attraverso un sistema di videosorveglianza, in luoghi pubblici, è legittimo se avviene per salvaguardare la sicurezza pubblica e osservando le normative statali pertinenti e previa segnalazione della presenza dei dispositivi di ripresa.

Il contenuto delle riprese non può essere pubblicato o fornito ad altre persone, a meno che non ci sia il consenso specifico degli individui o che leggi o regolamenti amministrativi dispongano diversamente.

Il trattamento di dati già resi pubblici deve avvenire sempre nel rispetto delle finalità; in caso contrario va acquisito il consenso del soggetto interessato dal trattamento.

Dati sensibili.

Il legislatore cinese fornisce la definizione di informazione sensibile riferendosi a quelle informazioni personali che, una volta trapelate o utilizzate illegalmente, possono causare discriminazione nei confronti di individui o gravi danni alla sicurezza personale o della proprietà, comprese informazioni su razza, etnia, credenze religiose, caratteristiche biometriche individuali, salute medica, conti finanziari, posizione individuale, tracciamento, ecc

Il trattamento dei dati sensibili può avvenire solo per scopi specifici e quando necessario.

Se per il trattamento del dato sensibile è richiesto il consenso individuale, i responsabili del trattamento delle informazioni personali devono ottenere il consenso specifico dell'individuo. Laddove leggi o regolamenti amministrativi prevedano l'ottenimento del consenso scritto per il trattamento di dati personali sensibili, tali disposizioni sono seguite.

Sanzioni.

E’ previsto un importante apparato sanzionatorio che dispone per il trattamento illegale di dati personali o la mancata adozione delle misure necessarie per proteggere i dati personali, sanzioni fino a 6.233.000 euro circa oppure calcolate fino al 5% delle entrate dell'anno precedente, (il legislatore non specifica se il fatturato (le entrate) saranno calcolate a livello di gruppo o di singola società.

La sanzione si applica anche a chi materialmente ha posto in essere il trattamento (quindi la persona fisica) che potrà essere multata per un importo fino a 128 mila euro circa.

4) Conclusioni

La Bozza di Legge in commento rappresenta il primo tentativo da parte del legislatore cinese di disciplinare una materia oltremodo complessa, come è quella del trattamento dei dati personali, attraverso un unico corpo normativo.

Ai fini interpretativi del testo probabilmente la governo cinese procederà come è solito fare in questi casi: adottata una legge se ne osserva l’impatto e successivamente si interviene “spiegandone” la sua attuazione, attraverso altre norme.

Di conseguenza siamo davanti ad un primo step di un percorso lungo che prende in esame anche il delicato tema rappresentato dal trasferimento transfrontaliero dei dati personali (oggi di estrema attualità a seguito della cd sentenza Schrems II) Per approfondimenti sul trasferimento di dai personali all’estero si rinvia agli approfondimenti:

A tale riguardo il trasferimento transfrontaliero dei dati è rimesso alla decisione che il Governo prenderà caso per caso.

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

CORSI ACCREDITATI PER COMMERCIALISTI E REVISORI LEGALI 2021 · 02/12/2021 Multe stradali comminate ai professionisti: è possibile notificarle sulla Pec dell’Ordine?

Il Garante si esprime su multe stradali ai professionisti e relativa notifica. I contenuti della Circolare del Viminale del 17.11.2021

Multe stradali comminate ai professionisti: è possibile notificarle sulla Pec dell’Ordine?

Il Garante si esprime su multe stradali ai professionisti e relativa notifica. I contenuti della Circolare del Viminale del 17.11.2021

Green pass: non viola la privacy. Lo afferma il Consiglio di Stato

Con Ordinanza il Consiglio di Stato, CdS, si pronuncia sulla privacy e il green pass. Vediamo i dettagli

Cybersicurezza nazionale: il decreto diventa legge

Convertito nella legge del 04.08.2021 n. 109 il Decreto legge in materia di cybersicurezza

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.