LinkedIn è solo la prima vittima della privacy cinese

Figurarsi realtà più piccole e meno attente. Sì, perchè il problema è che molte aziende nemmeno hanno un quadro chiaro della situazione.

Bisognerebbe farsi una sorta di autoanalisi, suggerisce Laura Formichella, sinologa, avvocato di Nctm.

Ecco una sfilza di domande d’obbligo. Questa nuova normativa mi riguarda? Vendo prodotti/servizi a soggetti residenti in Cina tramite il mio sito? I dati che raccolgo vengono trasferiti all'estero? Il soggetto estero cui trasferisco i dati, anche ai fini del loro trattamento, soddisfa i requisiti di sicurezza nel trattamento dei dati? Nella mia azienda è presente un soggetto responsabile della protezione dei dati? Esistono informative sulla privacy e sul rilascio del consenso per dipendenti, clienti e fornitori? Ho a disposizione un modulo di consenso per la raccolta, il trasferimento e il trattamento dei dati personali? Ho a disposizione un modulo di consenso per la raccolta, il trasferimento e il trattamento dei dati all’estero? I miei dipendenti che operano sui dati personali di clienti o dipendenti sono informati sugli obblighi imposti dalla nuova legge? Tra i miei clienti sono presenti minori di 14 anni?

Questo è, ovviamente, solo l’inizio. «Non mettersi in regola, oltre che pesanti multe può comportare la perdita della licenza a operare - conferma Laura Formichella. Il consenso è sempre richiesto per l’ottenimento e il trattamento dei dati personali. Ogni soggetto ha il diritto di conoscere e prendere decisioni sul trattamento dei propri dati, come anche il diritto di revocare in qualsiasi momento il proprio consenso al loro trattamento. Le “informazioni sensibili” (quelle informazioni come i dati biometrici, il credo religioso, informazioni finanziarie, che, se divulgate, possono danneggiare la persona, la dignità o la proprietà del soggetto interessato) richiedono un consenso separato. Le informazioni riguardanti i minori di 14 anni richiedono un consenso separato dei genitori o dei tutori».

Per il trasferimento dei dati a soggetti esteri è necessario superare una valutazione di conformità da parte della Cyberspace Administration of China. È richiesta una certificazione da parte di un’agenzia specializzata per la protezione dei dati personali autorizzata dalla CAC. Va adottato un modello contrattuale per il trasferimento dei dati adottato dalla CAC; è necessario un ulteriore consenso separato da parte del soggetto interessato che autorizzi al trattamento dei propri dati personali all’estero.

Il trasferimento di dati personali ad autorità estere è vietato, salvo espressa autorizzazione da parte della CAC. Tra i principali obblighi introdotti rientrano il fatto che se viene superata la soglia indicata dalla CAC è necessario costituire un organismo specifico responsabile della protezione e del corretto utilizzo dei dati personali. Qualora la natura o la quantità dei dati lo renda necessario (i criteri devono essere ancora definiti), l’azienda deve prevedere un sistema interno di classificazione e gestione dei dati. Infine, bisogna adottare le adeguate misure di sicurezza riguardanti la criptazione e de-identificazione dei dati.

Un lavoro molto pesante e a tutto campo: mappare, gestire, nominare terze parti che certificano, garantire il consenso dell’interessato come unica base legale per il trattamento dei dati personali, adeguare la struttura informatica.

Molte società straniere operanti in Cina, ancora prima di entrare nel Paese, hanno costituito un’infrastruttura IT solida ed universale, sia in sede che su cloud.

L'utilizzo della stessa piattaforma per le operazioni in Cina, pertanto, risulta spesso una scelta ovvia. Devono essere adottati sistemi di archiviazione crittografata, progetti in tecnologia blockchain, occorre garantire l’accesso autorizzato o altre misure di protezione della sicurezza ancora più rigorose per i dati personali sensibili e i dati designati come importanti dallo Stato.

Stabilire un sistema di recupero per i dati principali e implementare meccanismi per distruggere i dati quando richiesto. Implementazione di misure per il monitoraggio di fughe di dati, violazioni, danni, perdite e manomissioni. Necessaria la redazione di un piano di emergenza per eventuali perdite di dati, che deve essere immediatamente attivato in caso di violazione o incidente.

L’azienda deve sottoporsi a valutazioni periodiche del rischio dei dati che sono stati designati come sensibili dallo Stato. Prima che i dati personali o importanti dello Stato possano essere trasferiti all’estero, devono essere sottoposti a una “valutazione della sicurezza dell’uscita dei dati” e a una revisione della sicurezza nazionale.

Non a caso il Comitato centrale del Congresso nazionale del popolo ha messo questa legge in cima alla lista delle priorità da varare per poter chiudere in bellezza la saga cinese della sicurezza dei dati.

L’attenzione è massima per i dati trattati da soggetti stranieri che possono essere scambiati come “prodotti e servizi di dati che sono stati creati attraverso il trattamento legale dei dati”.

Le sanzioni pesantissime sono un forte deterrente. I trasgressori possono essere multati da 1 fino a 50 milioni di yuan (7,7 milioni di dollari ), a seconda delle dimensioni della infrazione. Per le violazioni gravi c’è addirittura la revoca della business licence.