Nuove regole sui trasferimenti transfrontalieri dei dati dalla Cina

Ci sono stati sviluppi significativi sui trasferimenti transfrontalieri di dati personali e “dati importanti” dalla Cina; ecco una sintesi dello stato della situazione.

Secondo l’attuale quadro normativo, per trasferire o accedere ai dati personali al di fuori della Cina continentale, le organizzazioni devono:

  • ottenere il consenso esplicito (separato) degli interessati;
  • completare una valutazione dell’impatto dei dati personali (simile a una DPIA del GDPR) per ogni trasferimento; e
  • stipulare un accordo di trattamento dei dati con il destinatario dei dati.

Il cambiamento più rilevante è che ora ogni organizzazione deve anche stabilire quale delle quattro opzioni per legittimare i trasferimenti transfrontalieri di dati sulla Cina ogni entità responsabile del trattamento dei dati all’interno di un’organizzazione dovrà percorrere, e seguire i passi pertinenti per ciascuna strada. Le quattro opzioni possibili sono:

  1. ottenere una certificazione dalla Cyberspace Administration of China (CAC);
  2. adottare le clausole contrattuali standard cinesi (SCC);
  3. eseguire una valutazione dell’impatto sulla sicurezza da parte della CAC; oppure
  4. implementare altri meccanismi, come quelli previsti per alcuni settori regolamentati).

Tutte queste opzioni comportano, in misura diversa, la mappatura dei dati, la riformulazione delle DPA (che probabilmente includono le SCC nelle opzioni da 1 a 3) e l’impegno con le autorità di regolamentazione (CAC e/o autorità di regolamentazione del settore), in una forma o nell’altra.

L’opzione pertinente per un’organizzazione varierà a seconda di fattori quali l’identità e l’ubicazione del titolare del trattamento, la natura dei dati trasferiti, il volume e il tipo di dati, le operazioni dell’organizzazione nella Cina continentale e altri fattori. L’aspetto fondamentale è che tutte le organizzazioni devono scegliere uno degli approcci approvati e adottare misure per conformarsi entro il 1° marzo 2023.

Le nuove regole si applicano sia ai dati personali che ai cosiddetti “dati importanti”. Pertanto, la mappatura e la valutazione dei dati dovranno comprendere anche alcuni dati non personali.

I nostri colleghi di DLA Piper China hanno creato un albero decisionale per aiutare le organizzazioni a valutare e decidere il percorso da seguire e stanno anche preparando roadmap/toolkits per ognuna delle quattro opzioni per aiutare le organizzazioni ad attuarle.

Per saperne di più sull’argomento, potete leggere i seguenti articoli dei nostri colleghi di DLA Piper Cina: “China: Draft SCCs Released – Time to Focus on Overseas Data Transfers” e “CHINA: Cross-border data transfers – what are your options?“.

Su un argomento simile, potete leggere l’articolo “Avete una metodologia di valutazione dei trasferimenti di dati basata sulla decisione Schrems II?“.