Data Policy: in Cina si cambia. Dal 1° di settembre entrerà in vigore la “Legge sulla sicurezza dei dati della Repubblica Popolare Cinese”. Ad approvare quella che nel linguaggio comune viene già indicata con l’acronimo LSD è stato, il 10 giugno di quest’anno, il Comitato permanente del 13° Congresso Nazionale del Popolo, principale organo legislativo del Paese.
Lo scopo principale della normativa è regolare le procedure di trattamento dei dati, garantire la sicurezza delle informazioni e promuoverne il corretto e trasparente utilizzo. L’intenzione di fondo è comunque quella di definire un quadro di riferimento per disciplinare il trattamento e la gestione dei dati, proteggere i diritti e gli interessi legittimi di individui e organizzazioni e salvaguardare la sovranità nazionale, la sicurezza e gli interessi di sviluppo della Cina.
Ai sensi della nuova normativa, si definisce dato qualsiasi registrazione d’informazioni in formato elettronico o meno. Ed è proprio qui, su questi dati, che la LSD interviene, regolandone tutte le tipologie di utilizzo e di gestione territoriale ed extraterritoriale. Le aziende straniere operanti in Cina dovranno rapidamente adeguarsi per non farsi trovare impreparate.
Il gruppo internazionale di consulenza legale, fiscale e strategica Horizons Corporate Advisory mette i suoi staff a disposizione delle imprese con interessi in Cina. Per riesaminare le loro data policy e per uniformarle alla nuova legge e ai suoi regolamenti di attuazione. In ogni caso, per rispondere al meglio agli adempimenti normativi, HCA suggerisce di individuare sin da subito in azienda una figura incaricata della gestione dei dati in Cina, così da adottare le corrette politiche di compliance e non frapporre ostacoli al sereno sviluppo dell’attività.
Dati: definizione e trattamento
Stabilita la perfetta corrispondenza tra il concetto di dati e qualsiasi tipo di registrazione d’informazioni, per trattamento s’intende la loro raccolta, conservazione, utilizzo, elaborazione, trasmissione, messa a disposizione e diffusione. Una serie di operazioni che possono essere condotte sia online sia off line, ma che sempre debbono garantire l’efficace protezione delle varie informazioni, il loro lecito impiego e l’adozione di misure atte a salvaguardarle da divulgazioni indebite e incontrollate.
Important data e core data
Non tutti i dati hanno lo stesso peso. Alcuni possono essere essenziali allo sviluppo economico e sociale di un territorio o dell’intero Paese. Altri possono afferire a materie sensibili come la sicurezza del Paese o l’interesse pubblico o l’integrità di enti nazionali.
Di qui la legge LSD impone allo Stato di stabilire rigidi parametri di classificazione dei dati. Quelli che incidono direttamente sul benessere della collettività vengono definiti important data. Core data sono invece quelli considerati centrali per l’incolumità della Nazione. La loro manomissione, distruzione, scorretta o intempestiva divulgazione e impiego potrebbe provocare severe lacerazioni nel tessuto connettivo nazionale.
Per quanto attiene agli important data, ciascuna Regione e Dipartimento cinese saranno tenuti a compilarne una specifica lista, stabilendo anche per ciascuna voce il grado di rilevanza per il suo settore o area di pertinenza, e precisando i conseguenti obblighi di protezione.
Ancor più rigorosi i criteri di trattamento dei core data, quelli fondamentali per la salvaguardia nazionale, gli asset strategici dell’economia nazionale, i mezzi di sussistenza primaria per le persone e i principali interessi pubblici. Su questo fronte gli idonei adempimenti vengono lasciati alle decisioni dei funzionari della sicurezza nazionale centrale. Ma è chiaro sin d’ora che il trasferimento di dati strategici senza le dovute autorizzazioni di Pechino sarà duramente colpito.
Sicurezza dei dati. Gli obblighi per le aziende
Più e meno cruciali, tutti i dati richiedono d’ora in poi puntuali protocolli di trattamento. Ogni azienda dovrà stabilire e perfezionare un sistema di gestione della sicurezza dei dati per l’intero flusso di lavoro. E ancora, definire modalità lecite e corrette per la loro raccolta, bandendo ogni approssimazione.
Consigliabile sarà sempre individuare un incaricato del trattamento dei dati e un ufficio competente in materia. Quindi, a cascata, gli obblighi. Per ciascun reparto operativo si dovranno determinare le misure tecniche e i protocolli per la trasparente acquisizione dei dati, i tempi delle necessarie notifiche agli utenti e soggetti coinvolti, nonché le conseguenti modalità di conservazione in sicurezza. Non diversamente, andranno sottoposte ad attenti controlli anche le procedure di smaltimento delle informazioni raccolte.
Tutti i dipendenti dovranno comunque essere edotti sulle problematiche relative al trattamento dei dati. Si dovranno quindi prevedere anche corsi di formazione ad hoc.
Le disposizioni saranno più stringenti per le imprese che trattano file classificabili come important data. In questo caso sarà indispensabile indicare formalmente il personale responsabile e gli organi preposti alla sicurezza dei dati. Andranno anche attribuiti precisi ruoli per la protezione delle informazioni rilevanti. E si dovranno condurre periodiche verifiche per la valutazione dei rischi connessi al trattamento dei dati, ponendo particolare attenzione a tipologie e quantità dei dati, processi aziendali, possibili criticità e relative contromisure. A ogni revisione dovrà corrispondere un report di analisi dei rischi da trasmettere ai reparti competenti.
Dirigenti e manager dovranno poi assicurare piena collaborazione anche agli organi di pubblica sicurezza qualora vengano richieste informazioni aziendali per fini di salvaguardia nazionale o per condurre eventuali indagini penali.
Più in generale saranno da riesaminare tutte le politiche di privacy dei dati che si dovranno adeguare alla nuova legislazione. Non è comunque da escludere che le normative di protezione di dati cinesi possano sovrapporsi a quelle analoghe di altre giurisdizioni (come per esempio il regolamento generale europeo sulla protezione dei dati, meglio noto come GDPR ). Per questo è sempre raccomandabile avvalersi di una consulenza specializzata.
Sanzioni severe per i trasgressori
La legge sui dati prevede sanzioni severe per chiunque trasgredisca. Aziende o enti che violino le normative sono infatti passibili di pene pecuniarie comprese tra 50 mila e 2 milioni di renminbi. Qualora poi non adempiano nei tempi stabiliti agli obblighi richiesti, le imprese possono anche incorrere nella sospensione delle attività e persino nella revoca delle licenze.
Applicazioni extraterritoriali
Concepita per regolare il trattamento dei dati all’interno del territorio della Repubblica Popolare Cinese, la LSD ha comunque per sua natura una portata più ampia. Perché divulgazioni non autorizzate di informazioni al di fuori del Paese possono ledere la sicurezza nazionale, gli interessi pubblici o dei privati cittadini cinesi. E quindi diventare oggetto d’indagine.
Tanto più severi gli adempimenti per le aziende. Anche quelle straniere e operanti al di fuori del territorio cinese dovranno adeguarsi alle nuove disposizioni quando trasferiscano o gestiscano dati relativi alla Cina. Eventuali inosservanze, anche non intenzionali, potrebbero avere pesanti conseguenze legali. Circostanze che, con le giuste misure, si possono evitare.
Per approfondire l’argomento e per ottenere una prima consulenza, inviateci una mail a country.partners@horizons-advisory.com. Sarete contattati dal Partner di riferimento.