by

La tanto attesa versione finale delle Clausole Contrattuali Standard per il trasferimento transfrontaliero di dati personali dalla Cina (“SCC cinesi“) è stata finalmente pubblicata il 24 febbraio 2023 dalla Cyberspace Administration of China (“CAC“) attraverso le Measures for Standard Contracts for Transferring Personal Information Overseas (le “Misure“) obbligando le aziende a intervenire prontamente.

È previsto un periodo di tolleranza fino al 1° dicembre 2023 per i titolari del trattamento dei dati personali per:

  • firmare le nuovi Clausole Contrattuali Standard cinesi con i destinatari all’estero delle loro informazioni personali; e
  • depositare presso la sede locale del CAC una copia delle SCC cinesi firmate, insieme alla corrispondente valutazione d’impatto sui dati personali (“PIIA”, la versione cinese della DPIA del GDPR) compilata dall’organizzazione.

Le misure entreranno in vigore il 1° giugno 2023 e le organizzazioni avranno sei mesi di tempo fino all’1 dicembre 2023 per adottare queste misure.

Chi deve sottoscrivere le Clausole Contrattuali Standard per il trasferimento di dati personali dalla Cina?

I titolari del trattamento dei dati personali che non soddisfano le soglie per il percorso di valutazione/approvazione della CAC o per la certificazione della CAC per i titolari del trattamento dei dati personali che non risiedono in Cina, devono seguire il percorso delle SCC cinesi per legittimare i loro trasferimenti di dati personali al di fuori della Cina continentale.

A titolo di promemoria

  • le organizzazioni che devono seguire il percorso di valutazione/approvazione CAC sono: (1) le organizzazioni designate come Operatore di Infrastrutture Informatiche Critiche; (2) le organizzazioni che esportano “dati importanti”; (3) le organizzazioni che trattano informazioni personali di oltre un milione di persone e intendono esportarne una parte; o (4) i titolari del trattamento dei dati personali che trasferiscono all’estero (i) informazioni personali di oltre 100.000 persone in aggregato, o (ii) informazioni personali sensibili di oltre 10.000 persone in aggregato, dove per “in aggregato” si intende il periodo a partire dal 1° gennaio dell’anno precedente; e
  • i titolari del trattamento dei dati personali non cinesi devono invece seguire il percorso alternativo di certificazione CAC (i dettagli non sono ancora stati pubblicati).

I titolari del trattamento dei dati personali che devono seguire il percorso di valutazione/approvazione CAC o il percorso di certificazione CAC non devono firmare e depositare le SCC cinesi. In effetti, le SCC cinesi sono redatte presupponendo che il titolare del trattamento dei dati personali sia una società della Cina continentale. Ciò detto, sarebbe ragionevole che tali organizzazioni sottoscrivessero comunque le SCC cinesi con i destinatari all’estero di informazioni personali cinesi come prova di buona prassi, anche se non hanno bisogno di farlo entro il periodo di grazia o di archiviarle.

Le SCC cinesi si applicano sia ai trasferimenti C2C che C2P

A differenza del GDPR, le SCC non fanno distinzione tra il trasferimento di dati da un titolare del trattamento a un titolare del trattamento dalla Cina o da un titolare del trattamento a un responsabile del trattamento. L’obbligo di firmare e depositare le SCC cinesi spetta al titolare del trattamento dei dati personali cinese. Sembra che, in una situazione C2C, entrambi i titolari del trattamento dei dati personali (supponendo che entrambi siano entità cinesi e siano soggetti al percorso delle SCC cinesi) abbiano l’obbligo di depositare le SCC cinesi firmate (insieme a ciascuno dei loro PIIA indipendenti condotti per il trasferimento).

Le Misure non chiariscono se i responsabili del trattamento dei dati personali debbano firmare e depositare le SCC cinesi con i loro subresponsabili. In attesa di indicazioni in merito, è consigliabile, come buona prassi, trasmettere le SCC cinesi a tali subresponsabili.

Analogamente alle SCC del GDPR, le SCC cinesi devono essere eseguite “così come sono”. Questa è una buona notizia per i titolari del trattamento dei dati personali che cercheranno di firmare le SCC cinesi con i grandi fornitori di tecnologia, in quanto dovrebbe accelerare il processo di firma. D’altra parte, a differenza delle SCC del GDPR, le organizzazioni possono negoziare condizioni aggiuntive (cioè migliorate) con i destinatari dei dati all’estero, a condizione che non siano in conflitto con le SCC cinesi. Tuttavia, nella pratica, prevediamo che molti responsabili del trattamento dei dati saranno riluttanti a firmare condizioni aggiuntive rispetto alle SCC cinesi.

Come procedere al deposito delle SCC sul trasferimento dei dati dalla Cina?

Le organizzazioni devono presentare alla sede locale della CAC una documentazione che comprenda:

  • le SCC cinesi firmate – in lingua cinese; non è chiaro se saranno accettate versioni bilingue; e
  • il PIIA corrispondente,

entro 10 giorni lavorativi dall’entrata in vigore delle SCC cinesi (ovvero dalla data di firma o di entrata in vigore delle SCC cinesi indicata nella versione firmata). Di fatto, quindi, sarà necessario un deposito per ogni trasferimento/destinatario all’estero.

I dettagli della procedura di deposito di persona o online non sono ancora stati pubblicati.

Non è chiaro se debbano essere depositati anche “eventuali altri accordi” relativi ai trasferimenti. In precedenza sembravache sarebbe stato necessario depositare solo le SCC cinesi firmate, il che significa che sarebbe stato ragionevole includere le SCC cinesi in un addendum al DPA globale o all’accordo sottostante, per gestire il rischio di divulgare inutilmente termini aggiuntivi o commerciali alla CAC. Non è chiaro se questo approccio sia sostenibile o se la CAC si aspetti che venga divulgato anche l’accordo completo o una versione parzialmente redatta dell’accordo completo. Ci auguriamo che la CAC pubblichi al più presto delle linee guida in merito, visto il potenziale impatto sulle clausole di riservatezza e sulla strutturazione dei contratti.

Necessità di aggiornamento dell’archivio in caso di modifiche ai trasferimenti di dati personali

A differenza del percorso di valutazione/approvazione della CAC, non ci sono limiti di tempo alla validità o alla legittimità delle SCC cinesi una volta firmate e depositate. Tuttavia, le organizzazioni devono sottoscrivere un supplemento o una nuova serie di SCC cinesi e depositarli nuovamente presso la filiale CAC locale con un PIIA aggiornato, se:

  • si verifichi una modifica della finalità, dell’ambito di applicazione, della categoria, del grado di sensibilità, del metodo, del luogo di conservazione o della durata delle informazioni personali trasferite all’estero; oppure
  • si verifica una modifica della finalità o del metodo di trattamento delle informazioni personali da parte del destinatario estero; oppure
  • c’è una modifica delle politiche di protezione dei dati personali o delle normative della giurisdizione del destinatario estero che può influire sui diritti e sugli interessi delle informazioni personali – il che significa che le organizzazioni devono monitorare le modifiche alle leggi sulla protezione dei dati all’estero e intraprendere mini-TIA all’interno dei loro PIIA, per valutare se le modifiche normative all’estero potrebbero avere un tale effetto; oppure
  • altre circostanze che possono influire sui diritti e sugli interessi dell’interessato si verificano.

Ciò significa che è necessario un monitoraggio attivo delle attività di trattamento, dei destinatari all’estero e delle leggi nelle giurisdizioni in cui operano. Prevediamo che molti team locali e cinesi che si occupano di protezione dei dati dovranno incrementare le risorse esistenti o il numero di dipendenti per integrare questo aspetto nei loro programmi di conformità alla protezione dei dati.

Le SCC cinesi non sono le uniche misure di conformità richieste per il trasferimento dei dati

La sottoscrizione e la presentazione delle SCC cinesi da sole non legittimano i trasferimenti transfrontalieri di dati personali. Non bisogna dimenticare:

  • il consenso esplicito e separato per il trasferimento transfrontaliero dei dati (oltre al consenso generale al trattamento dei dati e ad altri consensi separati per il trattamento di (tra l’altro) informazioni personali sensibili);
  • di effettuare una PIIA; e
  • l’adozione di misure tecniche e organizzative per garantire che i dati siano trattati secondo standard analoghi a quelli previsti dalle leggi cinesi in materia di protezione dei dati (ad esempio, due diligence, monitoraggio continuo dei fornitori, ecc.)

Le Misure menzionano specificamente il requisito di un consenso separato quando si trasferiscono informazioni personali all’estero per attività di trattamento che si basano sulla base giuridica del consenso. Siamo in attesa di chiarimenti da parte del CAC per sapere se il requisito del consenso separato sarà o meno esentato per le attività di trattamento basate sulle (limitate) basi giuridiche alternative previste dal PIPL.

Chiarimenti sul percorso di valutazione/approvazione della CAC

Per le organizzazioni che hanno già valutato se seguire o meno il percorso di valutazione/approvazione del CAC, il CAC ha chiarito che le organizzazioni non possono cercare di aggirare il percorso di valutazione del CAC strutturando falsamente il volume dei dati personali trattati, suddividendoli tra più organizzazioni o entità giuridiche. Le organizzazioni che non hanno ancora presentato le loro domande di valutazione CAC prima della scadenza del 1° marzo 2023 sono quindi caldamente invitate a riconsiderare le loro valutazioni interne per verificare se soddisfano o meno le soglie pertinenti.

I prossimi passi da adottare per i trasferimenti di dati personali dalla Cina

Le organizzazioni devono sottoscrivere le SCC per la Cina come priorità, o rischiano di dover interrompere il trasferimento transfrontaliero di dati personali dalla Cina. DLA Piper sta creando un modello di addendum per le SCC cinesi che le organizzazioni potranno utilizzare, quindi contattateci per ricevere assistenza.

Se siete interessati invece al trasferimento dei dati personali ai sensi del GDPR, potete leggere questo articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?“.

(Visited 538 times, 1 visits today)
Close Search Window