I trasferimenti transfrontalieri di dati nell'ordinamento giuridico cinese

1. Introduzione

Negli ultimi decenni i dati hanno assunto un ruolo strategico sia dal punto di vista economico che politico. In particolare, è divenuto centrale il tema della protezione dei dati personali: per questo motivo, un numero crescente di ordinamenti sta regolando la materia non solo quando i dati circolano all’interno dei confini nazionali, ma anche e soprattutto quando tali confini vengono varcati. Se i trasferimenti di dati da un Paese all’altro consentono di alimentare l’economia digitale, essi pongono anche problemi di sicurezza nazionale, di sicurezza delle reti e di sovranità dei dati. Tra gli ordinamenti che si sono attivati vi è anche la Repubblica Popolare Cinese (di seguito, «RPC»).

2. Definizione di trasferimenti transfrontalieri di dati personali

L’International Association of Privacy Professionals (IAPP) definisce i trasferimenti transfrontalieri di dati personali come il trasferimento di dati personali da una giurisdizione all’altra. A seconda dell’approccio regolatorio adottato dal singolo ordinamento, sono poste delle restrizioni e condizioni a tali trasferimenti a tutela degli interessi ritenuti preminenti. Per tale motivo, prima di scendere nei dettagli dell’ordinamento giuridico cinese, si ritiene utile introdurre i concetti di trilemma, di trapianto giuridico e di Brussels effect. 

3. Trapianti giuridici, il trilemma e il Brussels effect

Il concetto di trilemma, introdotto in ambito di finanza internazionale da P. Krugman nel 1999, può essere applicato anche ai trasferimenti transfrontalieri di dati, mettendo in luce la difficoltà che sorge nel conciliare i seguenti elementi: la protezione dei dati personali, la libera circolazione delle informazioni e l’espansione della giurisdizione nazionale. Come suggerisce il termine trilemma, che indica una scelta difficile tra tre elementi, solo due di essi possono essere conciliati al medesimo tempo.

Mentre l’ordinamento europeo privilegia al suo interno la protezione dei dati personali e la loro libera circolazione dando vita a un modello di federalismo globale, il modello cinese sacrifica la libera circolazione in favore della protezione dei dati personali e della giurisdizione nazionale. Comparando la normativa europea e la normativa cinese, come si vedrà successivamente, appaiono evidenti le similarità in termini di formulazione e contenuti: per questo motivo, si può avanzare la tesi che ci si trovi di fronte a un trapianto giuridico come elaborato da W. A. J. Watson o, perlomeno, che si sia verificato un caso di Brussels effect come inteso da A. Bradford nel 2012 e, dunque, come potere unilaterale de facto dell’Unione europea di esternalizzare le  proprie norme e fissare gli standard. Nonostante ciò, le due normative non sono identiche: la priorità per la RPC rimane la tutela della sicurezza nazionale, tutelata tramite la previsione del principio di extraterritorialità e rafforzata nel momento in cui i dati personali varcano i confini cinesi. Dunque, appare appropriato parlare di protezione dei dati personali con caratteristiche cinesi.

4. Quadro normativo e approccio cinese alla protezione dei dati

L’ordinamento cinese presenta notevoli difficoltà di approccio, a causa della lingua e della stratificazione delle fonti. Nonostante ciò, è fondamentale conoscere tale sistema giuridico in ragione del preminente ruolo economico svolto dalla RPC. Senza soffermarsi in questa sede sull’evoluzione millenaria del diritto cinese, ma ponendo l’attenzione sul tema dell’individuazione delle fonti del diritto contemporaneo, si possono riconoscere le «teorie del diritto di derivazione sovietica, tradizione e confucianesimo mescolate a concezioni del diritto occidentale» (E. Toti, 2010). La gerarchia delle fonti è stata stabilita in maniera chiara nel 2000 tramite la Legge sulla legislazione, la quale enuclea le seguenti fonti del diritto, ulteriori rispetto alla Costituzione (1982): i principi generali, la legge, i regolamenti amministrativi approvati dal Consiglio degli affari di stato, le leggi delle zone autonome e i regolamenti amministrativi. 

Per quanto riguarda la protezione dei dati personali, anche se non esiste una espressa copertura costituzionale del relativo diritto nell’ordinamento cinese, nel 2021 il diritto alla protezione dei dati personali è stato introdotto nel codice civile all’art. 110. La RPC ha da tempo consapevolezza del ruolo strategico dei dati e dell’evoluzione tecnologica: per questo ha dato avvio alla strategia cinese dei dati. Già nel 2016 Xi Jinping aveva espresso la volontà di rendere la RPC leader internazionale nell’ambito dello spazio digitale, per poi annunciare nel 2023 il Piano per la costruzione della Cina digitale: uno dei pilastri di tale piano è la circolazione dei dati. Nell’ambito della strategia cinese,  le numerose leggi settoriali che trattavano la materia sono state succedute da tre leggi, implementate tramite misure e regolamenti di livello secondario estremamente rilevanti nell’analisi di conformità: la Legge sulla cybersicurezza (2017), la Legge sulla sicurezza dei dati (2021) e la Legge sulla protezione delle informazioni personali (2021). L’art. 37 della Legge sulla cybersicurezza stabilisce un requisito di localizzazione per i dati personali e i dati importanti raccolti dagli operatori di infrastrutture critiche, mentre l’art. 31 della Legge sulla sicurezza dei dati richiama la Legge sulla cybersicurezza e le Misure dell’Amministrazione cinese per la sicurezza della rete (in inglese, Cyberspace Administration of China e, di seguito, «CAC»). L’analisi si focalizzerà sulla Legge sulla protezione delle informazioni personali, in quanto è questo il testo normativo che tratta, all’interno del capitolo III, i trasferimenti transfrontalieri di dati personali. 

5. Principio di extraterritorialità

Prima di scendere nei dettagli dei meccanismi e delle procedure da seguire per essere conformi, si illustra il principio di extraterritorialità.  L’art. 3 della Legge sulla protezione delle informazioni personali  amplia il suo ambito di applicazione non solo alle attività di trattamento che hanno luogo all’interno dei confini nazionali, ma anche a quelle al di fuori dal territorio della RPC, qualora si rientri nei casi elencati. Emerge evidente il parallelo con l’art. 3 del GDPR (regolamento UE 679/2016). Come spiegato da X. Jiang, mantenere la sovranità sui dati personali anche quando varcano i confini nazionali è un elemento fondamentale dell’approccio cinese: ciò si nota anche approfondendo i requisiti di localizzazione dei dati già introdotti con la Legge sulla cybersicurezza e con la Legge sulla sicurezza dei dati.

6. Meccanismi di trasferimento 

Per le aziende straniere operanti in Cina è di fondamentale importanza conoscere i meccanismi specifici da rispettare, proprio in ragione del principio di extraterritorialità. Innanzitutto, gli articoli rilevanti sono l’art. 38 e l’art. 40 della Legge sulle informazioni personali, anche se è sempre utile tenere a mente le Leggi sulla cybersicurezza e sulla sicurezza dei dati, oltre che le misure del CAC e delle altre amministrazioni competenti.

6.1. Art. 38 e art. 40

L’art. 38 della Legge sulla protezione delle informazioni personali prevede che i trasferimenti di dati personali possano avvenire solo quando «coloro che trattano i dati personali devono davvero fornirli al di fuori dei confini della RPC per ragioni commerciali o per altri motivi simili». In secondo luogo, l’articolo procede con l’elenco dei meccanismi disponibili. Essi sono il superamento di una valutazione di sicurezza da parte del CAC, l’ottenimento di una certificazione da parte di un'agenzia specializzata autorizzata dal CAC, la conclusione di un contratto standard predisposto dal CAC, oppure il rispetto delle altre condizioni previste da leggi, regolamenti amministrativi o dal CAC stesso. Tali modalità non sono equivalenti tra loro: l’art. 40 e le Misure del CAC aiutano a comprendere come scegliere il corretto meccanismo. Inoltre, si specifica che se la RPC ha concluso trattati o accordi internazionali che prevedono condizioni per il trasferimento, allora andranno rispettate tali disposizioni.

In ogni caso, coloro che trasferiscono i dati personali devono adottare le misure necessarie volte ad assicurare che l’entità ricevente rispetti lo standard di protezione garantito dalla Legge in esame. Quest’ultimo aspetto è particolarmente interessante poiché, dal punto di vista dell’Unione europea, la RPC non garantisce un livello di protezione essenzialmente equivalente a quello europeo e, invero, non vi è una decisione di adeguatezza per i trasferimenti verso la RPC. L’art. 40, richiamato dall’art. 38, riguarda gli operatori di infrastrutture critiche (Critical Information Infrastructure Operator, di seguito «CIIO») e i soggetti che trattano dati personali che superano le quantità previste dal CAC. Come regola generale, essi devono conservare sul territorio nazionale i dati personali raccolti e prodotti all’interno dei confini della RPC. Qualora invece fosse necessario trasferirli all’estero, essi dovranno passare una valutazione di sicurezza organizzata dal CAC: si sarà esenti da tale requisito solo nel caso in cui leggi, regolamenti amministrativi o disposizioni del CAC permettano di trasferire i dati senza valutazione di sicurezza.

6.2. Misure del CAC

Le Misure del CAC prevedono le quantità di dati superate le quali diventa obbligatoria la valutazione di sicurezza. Per finalità di chiarezza si riportano sia le Misure adottate nel 2022, sia quelle più recenti adottate a marzo 2024, che sostituiscono le prime per quanto riguarda i limiti quantitativi.

Le Misure per la valutazione della sicurezza del trasferimento dati all'estero del 1° settembre 2022 prevedevano all’art. 4 che, per trasferire i dati all’estero, fosse necessario sottoporsi alla valutazione di sicurezza nei seguenti casi: fornitura di dati importanti all’estero; detenzione della qualifica di CIIO; trattamento di dati personali di oltre un milione di persone; trattamento e trasferimento all’estero dei dati di oltre centomila persone o dati sensibili di oltre diecimila persone a partire dal 1° gennaio dell’anno in corso; altre circostanze previste dal CAC. Nelle Misure si approfondisce il contenuto e la procedura pratica prevista per la valutazione di sicurezza, suddivisa in una fase dinnanzi al CAC locale e, poi, di fronte a quello nazionale. La decisione del CAC può essere contestata una volta, ma successivamente il riesame è definitivo.

Tali Misure prevedevano requisiti di conformità molto impegnativi per le imprese, specialmente straniere: per questo, a seguito di numerose richieste di maggiore chiarezza da parte di esponenti dell’industria, quali il capo delle operazioni della Volkswagen in Cina, sono state adottate delle modifiche. Le nuove regole in materia di valutazione di sicurezza sono entrate in vigore il 22 marzo 2024. La RPC ha rilassato il suo approccio ai trasferimenti transfrontalieri di dati personali, specialmente in ambito di commercio digitale. Le motivazioni possono essere individuate nella volontà di attrarre maggiori investimenti stranieri, di conformarsi con gli standard internazionali e di incrementare l’innovazione. Al momento, rimane necessaria una valutazione di sicurezza quando il soggetto è un CIIO o tratta dati importanti. I limiti quantitativi invece sono stati modificati rendendo necessaria la valutazione di sicurezza solo se dal 1° gennaio dell’anno corrente il soggetto ha trattato cumulativamente dati personali di un numero di persone fisiche pari o superiori a un milione (il numero si abbassa a diecimila in caso di dati sensibili). Se, invece, dal 1° gennaio si sono trattati dati personali comuni di un numero di persone fisiche tra le centomila e un milione (o dati sensibili di meno di diecimila persone fisiche) si potrà utilizzare la certificazione o il contratto standard. Se dal 1° gennaio il trattamento ha coinvolto i dati personali comuni di meno di centomila persone fisiche, non è necessaria alcuna autorizzazione.

Sempre in ottica di semplificazione, sono state previste diverse eccezioni, applicabili in numerosi settori, oltre alla previsione di facilitazioni per chi si trova nelle cc.dd. free trade zones. Tuttavia, rimane un forte margine di discrezionalità nell’interpretazione di «trasferimento necessario» da parte dell’amministrazione competente. 

Per quanto riguarda gli altri meccanismi, a novembre 2022 il CAC, insieme all’Autorità statale competente per la regolazione del mercato, ha pubblicato le Regole relative alla certificazione di cui all’art. 38. Un ulteriore meccanismo, come esaminato, è la conclusione del contratto standard: tale modello è divenuto applicabile il 1° giugno 2023 ed è disponibile in cinese.

7. Le altre disposizioni del Capitolo III

In base all’art. 39, quando si pone in essere un trasferimento transfrontaliero nel rispetto delle condizioni di cui all’art. 38, è necessario fornire all’interessato le informazioni rilevanti, oltre che chiedere il suo consenso specifico al trasferimento. L’art. 41 riguarda i trasferimenti di dati dovuti alle richieste di giudici e autorità giudiziarie straniere. L’art. 42 riguarda l’inserimento in una lista nera qualora si violino le disposizioni della legge in questione. L’art. 43, infine, si occupa del diritto della RPC di adottare misure di reciprocità in caso di comportamenti discriminatori da parte di altri Paesi. Per una comprensione più approfondita si rimanda alla lettura integrale della traduzione inglese riportata in bibliografia.

8. Comparazione con il GDPR

Leggendo la Legge sulla protezione delle informazioni personali in ottica comparativa emerge una forte somiglianza tra questa e il GDPR in termini di contenuti, struttura e ambito di applicazione. Per la comparazione dettagliata delle due normative si rimanda al contenuto indicato in bibliografia, prodotto da A. Potter, K. Campbell e V. Ashcroft per Data Guidance. Nonostante le similarità, è bene tenere a mente le differenze in termini di meccanismi per i trasferimenti: la RPC non ha adottato alcun meccanismo simile alle decisioni di adeguatezza previste in ambito europeo. Tali differenze sono legate al fatto che la RPC punta a mantenere un controllo maggiore sui dati una volta trasferiti, per tutelare il più possibile la propria sicurezza nazionale.

9. Conclusione: riflessioni sulle conseguenze economiche

In conclusione, l’equilibrio tra gli interessi coinvolti è una sfida complessa: adottare un approccio invece che un altro può avere pesanti ripercussioni sull’economia del Paese, sulle operazioni commerciali delle imprese e sui diritti degli interessati. Studiare l’ordinamento giuridico cinese è fondamentale: le conseguenze della mancata conformità alle condizioni esaminate comportano elevate sanzioni e, nel peggiore dei casi, possono portare le entità straniere all’esclusione dal mercato cinese. Un ulteriore e ultimo spunto di riflessione riguarda la creazione di meccanismi di conformità richiamanti il concetto di «protezione equivalente»: ciò implicitamente esclude dai traffici commerciali Paesi meno avanzati sotto il punto di vista della protezione dei dati. In tal senso, insieme alla rilevanza che viene data alla pubblica sicurezza come limite insuperabile, è interessante studiare l’impatto delle normative sulla protezione dei dati personali sul diritto commerciale internazionale.

Bibliografia

• A. Bradford, The Brussels Effect, 107 NW. U. L. REV. 1, 2012, https://scholarship.law.columbia.edu/faculty_scholarship/271.

• A. Huld, China Adopts New Regulations to Facilitate Cross-Border Data Flows, China Briefing, 2024, https://www.china-briefing.com/news/china-data-export-regulations-foreign-companies/.

• A. Potter et al., Comparing privacy laws: GDPR vs. PIPL, Data Guidance, https://www.dataguidance.com/sites/default/files/gdpr_v_pipl_.pdf.

• Cinalex, Misure per la valutazione della sicurezza del trasferimento dati all’estero, in vigore dal 1 settembre, 2022, http://www.cinalex.it/blog/p/misure-per-la-valutazione-della-sicurezza-del-trasferimento-dati-allestero.

• D. Luo – Y. Wang, China Data Protection Overview, 2023, https://www.dataguidance.com/notes/china-data-protection-overview.

• E. Toti, Elementi di diritto cinese. Parte generale, Aracne, 2010, pp. 15-17.

• G. Zheng, Trilemma and tripartition: The regulatory paradigms of cross-border personal data transfer in the EU, the U.S. and China, in Computer Law & Security Review, Volume 43, 2021, pp. 1-2, https://doi.org/10.1016/j.clsr.2021.105610.

• H. Song, Differential Interaction: Development of Cross-border Data Flow Governance Mechanisms In Asean, in Highlights in Business, Economics and Management, Volume 24, 2024, p. 1123, https://doi.org/10.54097/46q0zm63.

• IAPP, Cross-border Data Transfers, https://iapp.org/resources/article/cross-border-data-transfers/.

• Legge sulla cybersicurezza, art. 37, traduzione inglese di R. Creemers et al. disponibile su DigiChina, https://digichina.stanford.edu/work/translation-cybersecurity-law-of-the-peoples-republic-of-china-effective-june-1-2017/.

• Legge sulla protezione delle informazioni personali, artt. 38-43, traduzione inglese di R. Creemers – G. Webster disponibile su DigiChina, https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/.

• Legge sulla sicurezza dei dati, art. 31, traduzione inglese della Assemblea Nazionale del Popolo cinese disponibile su http://www.npc.gov.cn/englishnpc/c2759/c23934/202112/t20211209_385109.html.

• Misure per la valutazione della sicurezza del trasferimento dati all’estero, traduzione inglese di R. Creemers et al. su DigiChina, https://digichina.stanford.edu/work/translation-outbound-data-transfer-security-assessment-measures-effective-sept-1-2022/.

• OECD, Cross-border Data Flows: Taking Stock of Key Policies and Initiatives, OECD Publishing, Paris, 2022, pp. 4 e ss., https://doi.org/10.1787/5031dd97-en.

• Reuters, Volkswagen China chief asks China's premier Li for clarity on data transfers,  https://www.reuters.com/business/autos-transportation/volkswagen-china-chief-asks-chinas-premier-li-clarity-data-transfers-2023-06-27/.

• Regole per la semplificazione dei trasferimenti dei dati all’estero, 2024, disponibile in cinese su https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm.

• S. Guo – X. Li, Cross-Border Data Flow in China: Shifting from Restriction to Relaxation?, 2024, pp. 11-17, https://dx.doi.org/10.2139/ssrn.4806703.

• W. A. J. Watson, Legal Transplants: An Approach to Comparative Literature, 1974.

• X. Jiang, Governing Cross-Border Data Flows: China’s Proposal and Practice, China Quarterly of International Strategic Studies, 2022, pp. 21 e ss., https://doi.org/10.1142/S2377740021500214.

• Y. Li, Cross-border Data Transfer Regulation in China, in Rivista italiana di informatica e diritto, 2021, pp. 67-68, https://doi.org/10.32091/RIID0028.