Novità sul trasferimento transfrontaliero dei dati dalla Cina
Il 1° settembre 2022 sono entrate in vigore le Misure per la valutazione della sicurezza dei trasferimenti transfrontalieri di dati.
Le misure prevedono, all’articolo 5, un termine di sei mesi per la rettifica dei dati, così da consentire alle società che compiono attività transfrontaliere di trasferimento di dati di presentare la domanda di approvazione del trasferimento alla Cyberspace Administration of China (CAC).
I requisiti per giovarsi del termine per la rettifica previste per il trasferimento di dati
Tutte le aziende in possesso dei seguenti requisiti dovranno entro il 1° marzo 2023 presentare domanda di esportazione dati alla CAC per approvazione:
- Trasferimento di dati importanti all’estero.
- Trasferimento di dati da parte di operatori di infrastrutture informative critiche.
- Gestore di dati che elabora informazioni personali di oltre 1 milione di persone.
- Gestore di dati che hanno trasferito cumulativamente all’estero le informazioni personali di oltre 100 000 persone, o informazioni personali sensibili di oltre 10.000 persone dal 1 ° gennaio dell’anno precedente.
La domanda deve essere accompagnata, tra le altre cose, da un’autovalutazione della gestione dati.
La maggior parte delle entità che effettuano trasferimenti transfrontalieri potrebbe interpretare restrittivamente la norma e ritenere di essere esclusa dalle categorie tenute a rispettare la scadenza del 1° marzo 2023.
Questa interpretazione è rischiosa perché non tiene in considerazione il principio di “responsabilità” nel trattamento dei dati previsto nella normativa di riferimento.
Le entità soggette all’approvazione CAC per il trasferimento transfrontaliero dei dati devono necessariamente rettificare le loro attività di trasferimento transfrontaliero dei dati e passare attraverso l’autovalutazione e la domanda di approvazione del CAC prima del 1° marzo 2023.
Se decidono di non rispettare la scadenza è però importante che giustifichino e documentino le ragioni dell’esclusione, specialmente in considerazione delle possibili ispezioni e controlli da parte delle autorità.
È anche importante che costoro mettano a disposizione le informazioni sui dati prodotti in Cina all’estero attraverso una connessione con la casa madre o vice-versa.
Le entità che ritengono di non essere soggette alle Misure dovrebbero svolgere un processo di valutazione adeguato e documentato prima di decidere che la scadenza è inapplicabile nel loro caso.
Quando il periodo di tolleranza di sei mesi terminerà (il 1° marzo 2023) e le autorità inizieranno a controllare tutte le entità che effettuano trasferimento transfrontaliero di dati, sarà importante che le aziende dimostrino di non rientrare nell’ambito di applicazione dell’articolo 5 delle Misure.
L’autovalutazione e la documentazione sul trasferimento di dati
Per raggiungere questo obiettivo, le entità avranno bisogno di una autovalutazione documentata che includa almeno:
- La classificazione dei dati che la società trasferisce all’estero e l’esclusione che i dati trasferiti all’estero rientrino tra i dati definiti “importanti”.
- La valutazione e conclusione che la società non stia elaborando informazioni personali di oltre 1 milione di persone.
- La classificazione delle informazioni personali trasferite all’estero e la conclusione che la società non ha trasferito cumulativamente all’estero le informazioni personali di oltre 100.000 persone o le informazioni personali sensibili di oltre 10.000 persone dal 1° gennaio dell’anno precedente.
In base all’articolo 55 della legge sulla protezione delle informazioni personali cinese, prima di qualsiasi trasferimento transfrontaliero, deve essere condotta una valutazione dell’impatto sulla protezione delle informazioni.
Una corretta valutazione prima del trasferimento transfrontaliero dei dati è quindi obbligo legale esistente anche ai sensi delle leggi vigenti.
Il termine di rettifica del 1° marzo 2023 va considerato come un termine supplementare per tutte le entità che debbano dimostrare la propria conformità alle norme sul trasferimento transfrontaliero attraverso un’autovalutazione.
E questo indipendentemente dal fatto che rientrino o meno nella disciplina soggetta all’approvazione CAC.
Questo processo di autovalutazione non è semplice, e richiede un’indagine accurata di tutti i dipartimenti aziendali e dati da questi gestiti e trasferiti.
In base alla esperienza maturata negli anni da questo Studio, questo processo può richiedere settimane o addirittura mesi.
Meglio farsi trovare preparati e evitare il rischio di incorrere nelle sanzioni previste dal Data Security Law* e della Personal Information Protection Law** che prevedono multe di oltre 1 milione di RMB e ulteriori conseguenze sul piano amministrativo.
Il nostro consiglio è quello di adeguarsi quanto prima al dettato normativo previsto dalle Misure.
I professionisti del dipartimento di Intellectual Property dello Studio sono pronti a rispondere ad ogni quesito al riguardo.
Appendice normativa
*Cap. IV, artt. 46 e segg. della Data Security Law (2021)
**Cap. VII artt. 66 e segg. della Personal Information Protection Law (2021)