Personal Information Security Specification cinese e GDPR europeo: quali le differenze e i punti di convergenza?

In un nostro recente intervento abbiamo dato notizia dell’emanazione da parte del Governo cinese dello Standard volontario Information Technology – Personal Information Security Specification (in seguito ‘lo Standard’).

Vediamo brevemente i punti di contatto e le differenze più evidenti del nuovo standard cinese, in vigore dal 1/5/2018, rispetto al Reg. UE 679/2016, che a sua volta troverà applicazione a far data dal 25/5/2018. Il primo elemento di distinzione può essere individuato nella scelta dello strumento legislativo. 

L’Unione europea ha infatti optato per un regolamento, ovvero una norma direttamente applicabile, senza necessità di provvedimenti da parte degli Stati nazionali, in tutto il territorio comunitario. Non solo nella scelta del legislatore comunitario, ma anche nelle Linee guida del gruppo di lavoro Art. 29, è possibile leggere una forte spinta ad una interpretazione e conseguente applicazione unitaria del GDPR su tutto il territorio comunitario, con il chiaro intento di garantire la sicurezza ed al contempo la libera circolazione dei dati, di cui viene riconosciuto l’intrinseco valore economico nell’era della new economy.

La fonte cinese è invece uno Standard volontario, ovvero una norma non cogente che si inserisce nel regime di protezione dei dati personali cinese come strumento per attuare leggi di livello gerarchicamente superiore, in particolare la Cybersecurity Law (2016). Lo Standard rappresenterà dunque un punto di riferimento per il Governo cinese nel valutare le pratiche adottate dalle imprese per garantire la tutela dei dati personali, per cui la sua applicazione è fortemente consigliata a tutti coloro che vogliono operare sul mercato cinese.

Il sistema di protezione dei dati personali cinese inoltre non prevede alcuna figura istituzionale quale il Garante per la protezione dei dati, presente al contrario nel sistema europeo sia a livello comunitario che dei vari Stati nazionali, a cui è affidato il compito di vigilare sulla corretta ed uniforme applicazione del Regolamento. Si prevede, pertanto, un applicazione dello Standard disomogenea, dovuta alla carenza di un’autorità responsabile dell’esatto adempimento degli obblighi previsti dalla normativa cinese.

Ambito di applicazione

Relativamente all’ambito di applicazione, entrambe le normative regolano il trattamento, inteso come la raccolta, la conservazione, l’organizzazione, l’uso, la condivisione di dati personali.

L’estensione dei dati personali soggetti alla disciplina del GDPR e dello Standard è però potenzialmente diversa, in quanto le normative propongono diverse definizioni di ‘dato sensibile’.

Infatti, Il GDPR fornisce all’articolo 9 una definizione esclusiva di cosa si debba intendere per dato ‘particolare’, mentre lo Standard propone una definizione non esclusiva in quanto definisce sensibile qualsiasi dato che, se trattato in maniera inadeguata o perso, può causare un danno alle persone o alla proprietà. Nello Standard, pertanto, la valutazione di quale dato possa essere considerato sensibile viene effettuata secondo un approccio basato sul rischio.

Consenso

Un elemento fondamentale su cui lo Standard e il GDPR si discostano è la definizione di consenso, e soprattutto le modalità con cui esso può essere reso.

Per il GDPR il consenso non solo deve essere informato, ma deve essere reso in modo esplicito o per fatti concludenti; mai può essere implicito o può valere come consenso il silenzio.

Al contrario lo Standard sembrerebbe ammettere anche il consenso reso in maniera implicita o il c.d. silenzio/assenso; questo almeno secondo l’interpretazione dei redattori della norma.

Oltretutto, lo Standard si discosta dal GDPR nell’individuazione dei casi di esclusione del consenso.

Il GDPR annovera espressamente l’esecuzione di un contratto ed il legittimo interesse tra le basi giuridiche che rendono lecito il trattamento. La Cybersecurity Law invece indica unicamente il consenso come possibile base giuridica per il trattamento dei dati; di conseguenza, lo Standard fa rientrare tra i casi di esclusione del consenso solo la necessità di eseguire un contratto secondo le richieste dell’interessato, mentre non fa alcun riferimento al concetto di legittimo interesse.

Il riconoscimento del consenso quale unica base giuridica che legittima il trattamento dei dati è, dunque, una delle ragioni per cui il sistema di protezione dei dati personali cinese richiede un’interpretazione del concetto di consenso e delle modalità con cui può essere reso più elastica rispetto a quella adottata in ambito europeo.

Pur con le evidenti e importanti divergenze illustrate, i redattori dello Standard si sono certamente ispirati al GDPR europeo e le assonanze tra le due norme sono rintracciabili in più punti, tanto da far scrivere ad alcuni commentatori statunitensi che il sistema cinese di trattamento dei dati si starebbe avvicinando più a quello europeo che a quello americano, lasciando gli USA di fatto isolati su questo importante fronte.

Di fondamentale importanza è rilevare che in entrambe le norme è previsto il ‘principio di accountability’, ai sensi del quale coloro che trattano i dati sono anche responsabili di garantire la conformità, e quindi la liceità, del trattamento stesso, nonché di dare prova di avere valutato i rischi cui i dati possono essere esposti e di avere adottato le misure tecniche ed organizzative più idonee ad evitarli.

Sia il GDPR che lo Standard sviluppano, dunque, un approccio fortemente basato sulla valutazione del rischio cui i dati sono esposti, responsabilizzando sia dal punto di vista delle misure da adottare che della prova i titolari del trattamento.

Lo Standard inoltre trae chiaramente ispirazione dal Regolamento europeo nella disciplina di alcuni istituti, schematizzati in sintesi al fine di rendere evidenti divergenze e convergenze nella tabella che segue.