L’Assemblea Popolare Nazionale ha approvato la legge sulla sicurezza dei dati, volta a porre un freno al flusso di dati sensibili ivi sviluppati e poi destinati all’estero.
La nuova disciplina, composta di 53 articoli, si focalizza su tutte le attività trattamentali quali la raccolta, la conservazione, l’utilizzo e la pubblicazione dei dati.
Grande attenzione da un lato al ruolo e al coordinamento dell’Autorità amministrative, dall’altro ai c.d. dati particolari, andando a normare sia la categoria dei “dati nazionali fondamentali” – attinenti la sicurezza nazionale – sia il trasferimento transfrontaliero dei “dati importanti”, facendo gli opportuni distinguo tra gli Operatori di Infrastrutture Informatiche Critiche (OIIC) e i non-OIIC.
Il Comitato permanente dell’Assemblea nazionale del popolo ha invece di recente approvato la normativa per la tutela dei dati personali, sulla scorta del GDPR.
Le finalità sono quelle di evitare che le compagnie raccolgano dati personali sensibili privi di qualsivoglia autorizzazione da parte dei soggetti interessati, di porre un freno all’aumento delle truffe su internet, alla fuga di dati nonché agli abusi contestati ai Big Tech e al web.
Come riportato da Rai News, un portavoce dell’Assemblea nazionale del popolo ha dichiarato all’agenzia di stampa statale Xinhua che la nuova disciplina mira a proteggere coloro che “sono più esposti ai rischi sui dati personali utilizzati per la profilazione degli utenti e agli algoritmi di raccomandazione o all’uso di big-data nella determinazione di prezzi sleali”, andando a normare l’ultimo tassello, a metà tra la rete ed i dati, lì dove sono le persone e i loro dati sensibili.
Troviamo innanzitutto una definizione di dato sensibile per certi versi più ampia di quella europea, comprendente ogni informazione che attenga a: razza, appartenenza etnica, religione, dati biometrici – la cui previsione andrà conciliata con le diffuse videocamere dotate di riconoscimento facciale – dati finanziari e relativi alla vicenda personale di ogni cittadino.
Si prevede poi un esteso ambito di competenza trovando applicazione anche per i dati trattati da soggetti stranieri in Cina e dagli stranieri fuori dalla RPC che vengano in possesso dei dati originati in Cina. Quanto alle attività di trasferimento dei dati verso altri paesi, queste potranno essere poste in essere a condizione che lo Stato di destinazione adotti degli standard minimi di sicurezza non inferiori a quelli presenti in Cina.
Mutuando l’impianto sanzionatorio previsto dal Regolamento Generale sulla Protezione dei Dati, il parlamento cinese ha stabilito che le aziende, laddove non si conformino alle previsioni normative, possono incorrere in multe fino a 50 milioni di yuan – equivalenti a circa 6.5 milioni di euro – o il cinque percento del fatturato annuo. I trasgressori più gravi, inoltre, rischiano sanzioni di natura non patrimoniale, che vanno dalla sospensione o il ritiro delle licenze commerciali fino all’ipotesi di chiusura.
Le imprese europee che operano nel mercato cinese, sebbene già “abituate” ai rigidi paletti del GDPR, si troveranno dinnanzi ad un sistema complesso e del tutto nuovo, presidiato da 12 autorità amministrative che avranno il compito, tra le altre cose, di impedire la profilazione dei consumatori.
