Articoli
02/09/2020
Corporate & Commercial - Privacy & IT Compliance

La protezione dei dati personali a Hong Kong e nella Cina continentale

La normativa della Cina continentale e la normativa della regione amministrativa speciale di Hong Kong in tema di protezione di dati personali sono separate e, per vero, piuttosto diverse – più recente, frammentaria e basata su nozioni generali la prima; più risalente, unitaria e analitica la seconda. È opportuno che gli operatori, nell’affacciarsi ai mercati di queste due zone, ne tengano in considerazione le particolarità giuridiche.

Molte delle attività che coinvolgono la raccolta e l’uso di dati sono intrinsecamente transfrontaliere. Ciò pone questioni analoghe (essenzialmente, di applicazione extraterritoriale) sia in diritto di Hong Kong sia in diritto della Cina continentale.

Altre criticità sono invece diverse nei due ordinamenti. Da un lato, l’analiticità e precisione di certi requisiti in vigore a Hong Kong può rappresentare una sfida per alcuni attori di mercato. Dall’altro lato, la genericità di molte nozioni usate dalla legislazione della Cina continentale comporta una certa fluidità applicativa e richiede costante attenzione al rispetto delle norme.

La protezione dei dati personali a Hong Kong ha il suo cardine nella Personal Data (Privacy) Ordinance (Cap 486)(“PDPO“), promulgata per la prima volta nel 1995, quando Hong Kong era ancora un territorio d’oltremare del Regno Unito, e ispirata alle Privacy Guidelines emanate dall’OCSE nel 1980.

Principale destinatario degli obblighi imposti dalla PDPO è il data user, ossia il soggetto che, da solo o insieme ad altri, controlla la raccolta, la conservazione, il trattamento o l’uso di dati personali. Sono “dati personali” i dati che riguardano una persona fisica in vita, in base ai quali si possa identificare la persona in questione, e in forma tale per cui si possa accedervi o essi possano essere oggetto di trattamento.

La PDPO si applica, in genere, a condizione che il data user controlli il trattamento dei dati a o da Hong Kong, senza che assumano rilievo né il luogo in cui il trattamento effettivamente avviene, né la cittadinanza o residenza del soggetto dei cui dati si tratta. Pertanto la PDPO, nonostante non preveda espressamente la propria efficacia extraterritoriale, di fatto si presta a essere applicata anche a soggetti attivi fuori dal territorio di Hong Kong.

Il fulcro normativo della PDPO è costituito da sei Data Protection Principles (“DPP“), riguardanti: (i) lo scopo e il metodo della raccolta dei dati; (ii) l’esattezza dei dati e il tempo per cui essi sono conservati; (iii) le modalità d’uso dei dati; (iv) la sicurezza dei dati conservati; (v) la trasparenza delle prassi del data user; e (vi) il diritto di accesso e rettifica dei dati.

Una riforma del 2012 ha introdotto requisiti particolari e più stringenti per l’uso dei dati a fini di direct marketing. Costituiscono direct marketing l’offerta, o la pubblicizzazione della disponibilità, di beni o servizi, o la richiesta di donazioni o contribuzioni, se fatte inviando informazioni o beni a una persona specifica nominativamente individuata o contattando al telefono una persona specifica.

Secondo il DPP 1(3), iI data user, quando raccoglie dati personali direttamente dall’interessato, deve porre in atto ogni misura ragionevolmente praticabile per assicurare che l’interessato sia informato: (i) di se fornire i dati personali sia obbligatorio (ed, eventualmente, delle conseguenze di un rifiuto di fornire i dati); (ii) degli scopi per cui i dati saranno usati e delle categorie di soggetti a cui potranno essere trasmessi; e (iii) del diritto ad accedere ai dati personali e a ottenerne la rettifica. Se poi il data user intende usare i dati a fini di direct marketing, dovrà ottenere il consenso dell’interessato.

Nella prassi, i data users sono soliti adempiere a detti obblighi sottoponendo all’interessato un’informativa detta Personal Information Collection Statement. Ove necessario, il documento va firmato per consenso all’uso dei dati a fini di direct marketing.

Il DPP 5 impone invece ai data users di porre in atto ogni misura ragionevolmente praticabile affinché qualsiasi soggetto possa accertarsi delle sue prassi in tema di dati personali. Al riguardo, i data users sono soliti rendere disponibile al pubblico, in forma cartacea presso i propri uffici o in forma elettronica sul sito, un’informativa detta Privacy Policy Statement. Accade anche di vedere documenti che fungono al tempo stesso da Personal Information Collection Statement e Privacy Policy Statement.

L’ordinamento della Cina continentale adotta un’impostazione piuttosto diversa da quella di Hong Kong. Non vi è, qui, un atto normativo che miri a porre tutta e sola la disciplina in tema di dati personali.

Contiene, innanzitutto, alcune norme attinenti al tema (inserite con una riforma del 2013) la Legge sulla tutela dei diritti e interessi dei consumatori. Questa, però, concerne – appunto – solo la protezione dei dati personali dei consumatori.

La Legge sulla sicurezza cibernetica (Cybersecurity Law), promulgata nel 2016, inserisce alcune disposizioni in tema di tutela dei dati personali (collocate perlopiù nel titolo IV) in un quadro generalmente volto a proteggere la sicurezza delle “reti”. Principali destinatari degli obblighi imposti dalla legge sono i “fornitori di prodotti o servizi di rete” (providers of network products or services), i “gestori di rete” (network operators), i “gestori di infrastrutture per informazioni chiave” (operators of critical information infrastructures).

L’articolo 253-bis della Legge penale punisce il reato di “violazione di dati personali di cittadini”.

Alla normativa di rango legislativo fanno da corredo vari regolamenti settoriali e una serie di standard ufficiali (standard “GB”) che definiscono più compiutamente le nozioni usate dalla normativa (spesso piuttosto sfumate) e suggeriscono buone pratiche. Questi standard, di per sé, sono perlopiù non vincolanti, ma possono assumere forza vincolante fra le parti se richiamati in un contratto, o un forte valore autoritativo se citati con frequenza nelle decisioni delle autorità.

Il nuovo Codice civile cinese, che entrerà in vigore il 1° gennaio 2021, dedica a Diritto alla riservatezza e tutela dei dati personali l’intero titolo VI del libro IV. Si avrà così per la prima volta una disciplina tendenzialmente onnicomprensiva del tema in questione, della quale sarà destinatario chiunque gestisca dati personali.

Alle fonti descritte potrà infine aggiungersi una Legge sulla protezione dei dati (Data Protection Law), di cui una bozza è stata resa pubblica nel luglio 2020. A un primo sguardo, l’ambito applicativo della legge appare vago e vasto; la definizione di data activities utilizzata si presta ad abbracciare (anche) la raccolta e il trattamento di dati personali.

Concentrandoci ora sulla Legge sulla sicurezza cibernetica, essa si applica alla costruzione, gestione, manutenzione e uso di reti all’interno della Repubblica Popolare Cinese. Sebbene la normativa non preveda una propria applicazione extraterritoriale, tuttavia, l’ubiquità di Internet e l’indefinitezza di molte nozioni legislative di fatto lasciano la porta aperta a un’applicazione della Legge sulla sicurezza cibernetica ad attori collocati al di fuori del territorio cinese.

La Legge sulla sicurezza cibernetica definisce i “dati personali” come ogni tipo di dati, registrati in forma elettronica o in altra forma, che da soli o combinati con altri dati possono far riconoscere l’identità di un individuo persona fisica, inclusi in via non limitativa il nome e cognome, la data di nascita, il numero di documento d’identità, i dati biometrici personali, l’indirizzo di residenza, il numero di telefono, eccetera di una persona fisica.

La legge impone ai “gestori di rete” di: (i) mantenere riservati i dati degli utenti e attuare misure per la protezione degli stessi; (ii) raccogliere e usare i dati personali nei limiti di quanto necessario; (iii) rendere noti i fini, le modalità, e l’ambito della raccolta e uso dei dati; (iv) ottenere il consenso delle persone i cui dati personali devono essere raccolti; (v) attuare le opportune contromisure e informare le autorità nel caso di fuga di dati. Gli interessati hanno il diritto di chiedere la cancellazione e la rettifica dei propri dati.

I “fornitori di prodotti o servizi di rete” devono inoltre informare gli utenti, e ottenerne il consenso, se i prodotti o servizi ne raccolgono i dati. I “gestori di infrastrutture per informazioni chiave” devono in genere conservare i dati personali e i “dati importanti” raccolti e prodotti nel corso delle attività all’interno del territorio cinese. La trasmissione all’estero, se necessaria, richiede uno scrutinio di sicurezza, da condursi in base a norme ancora in larga parte in divenire.

Nella prassi, nei casi in cui la legge impone all’operatore di informare gli interessati circa la raccolta e l’uso di dati personali, gli operatori sono soliti rendere disponibili (in prima battuta, sui propri siti web) apposite informative.

La Legge sulla sicurezza cibernetica ama dunque procedere per concetti generali, che le autorità possono riempire di contenuto mediante standard, divulgazione di decisioni, pubblicazione di liste di casi esemplari, eccetera. Ciò assicura un più ampio margine di manovra nell’applicazione quotidiana.

Ricevi i nostri aggiornamenti