In Cina la nuova legge sulla protezione dei dati. Dal primo novembre entra in vigore la Personal Information Protection Law (PIPL), che conferma la linea di Pechino contro i colossi del settore tecnologico: il governo vuole evitarne il ruolo di monopolio, disciplinarne la gestione dei data-base e bilanciarne marginalità e performance economiche. «La PIPL mira a salvaguardare i diritti e gli interessi degli individui, regolando le attività di trattamento delle informazioni personali e facilitandone un uso ragionevole, e si applica alle entità che utilizzano le suddette informazioni», ha spiegato Luca Qiu, coordinatore del gruppo di lavoro digitale di Fondazione Italia Cina e amministratore delegato di Value China. Approvata lo scorso agosto dal Comitato Permanente dell’Assemblea Nazionale del Popolo, la direttiva sistematizza le regole sulla tutela dei dati personali, dando una cornice normativa di riferimento sotto il controllo della Cyberspace Administration of China (CAC), l’autorità che verifica la conformità del loro trattamento ai regolamenti sulla privacy delle società coinvolte. La PIPL avrà ripercussioni sull’attività delle aziende operanti nel mercato rosso – compagnie cinesi e gruppi stranieri – e prevede multe fino a 50 milioni di renminbi (6,7 milioni di euro circa) e blacklist, in caso di violazioni o di trasferimento di informazioni verso Paesi con minor tutela. Quanto alle sanzioni, non sembrerebbe stabilire un minimo, lasciando ampio margine di discrezionalità alle autorità regolatorie. La normativa popolare ha caratteristiche analoghe al Regolamento generale sulla privacy dell’Unione europea (il GDPR), che dal 2018 è in vigore in ogni Stato comunitario: dalla portata extraterritoriale, alle restrizioni sul trasferimento dei dati, agli obblighi di conformità, alle sanzioni per la non conformità. La PIPL prevede che ogni individuo sappia quali informazioni personali vengono raccolte, possa negare il consenso al loro utilizzo e possa richiedere correzioni o cancellazioni dai data-base. Per il trattamento dei dati, è necessario il consenso esplicito degli interessati tramite contratto, o che vi sia un criterio di interesse pubblico o il requisito di emergenza, legato alla tutela della salute, come durante la pandemia di Covid-19. Per le aziende che gestiscono informazioni su larga scala come Alibaba, Tencent o Didi, si tratta di gestire in modo completamente diverso le proprie attività e il rapporto con gli utenti. Per chi opera nella Repubblica Popolare in ogni altro ambito, invece, significa approfondire e adeguare i propri standard alla nuova normativa. Se le direttive contrastano innanzitutto gli abusi dei grandi gruppi tecnologici, è comunque dovere di ogni impresa implementare in fretta policy interne e verifiche sul rispetto della Personal Information Protection Law. «E le aziende dovranno adattarsi immediatamente, perché in Cina appena la legge entra in vigore, bisogna subito applicarla», ha affermato Luca Qiu. ©
Sara Teruzzi
Twitter @sara_teruzzi
LinkedIn @Sara Teruzzi