La Personal Information Protection Law of the People’s Republic of China” (中华人民共和国个人信息保护法 Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fǎ) (“PIPL”) è entrata in vigore il 1° novembre 2021: si tratta della prima legge generale emanata dalla Repubblica Popolare cinese per la protezione dei dati personali.

La PIPL va collocata all’interno di un contesto normativo composto, oltre che dal codice civile di recente promulgato, da due principali normative: la Cybersecurity Law (CSL) entrata in vigore il 1° giugno 2017 e la Data Security Law (DSL) entrata in vigore a ridosso della PIPL, il 1° settembre 2021.

La sua emanazione è stata spinta da due tendenze fondamentali che andranno ad esplicare, probabilmente, i loro massimi effetti nel prossimo futuro.

La prima è il ruolo di superpotenza tecnologica cui la Cina tende, ci sono stati forti investimenti negli ultimi dieci anni e piani di sviluppo dell’intelligenza artificiale, della blockchain e delle criptovalute.

A ben vedere è la stessa premessa introdotta tra i considerando del GDPR , dove viene espressa l’esigenza di adeguare la tutela dei dati personali allo sviluppo delle tecnologie, stabilendo un quadro più solido e coerente, accompagnato da efficaci misure di attuazione.

Allo stesso tempo, come in Europa, si sta delineando un nuovo rapporto tra lo Stato e le big tech e, nella stessa PIPL, ci sono delle norme che si pongono in questa direzione cercando di regolamentare il trattamento dei dati da parte delle grandi piattaforme digitali. Viene così innalzato il livello delle misure di sicurezza che devono attuare (art. 66 PIPL) e viene fornita una regolamentazione specifica per le decisioni automatizzate, soprattutto quando legate alla targetizzazione e al marketing (art. 73 PIPL).

La seconda tendenza è quella legata ai grossi progetti di collaborazione economica e normativa, la via della seta da una parte, il trattato bilaterale con l’Europa dall’altra (CAI).

Progetti come quello della via della seta dovranno poggiare su connessioni giuridiche e non solo economiche. A ben vedere è lo stesso spirito che ha portato anche l’Unione Europea a sostituire con un Regolamento la precedente direttiva 95/46 CE: la protezione dei dati personali intesa non più come “a misura di paese”, al fine di parificare gli standard di protezione dei dati e agevolarne la circolazione.

Venendo al contenuto della norma, la PIPL replica l’impianto del GDPR mutuandone i principi e le coordinate essenziali. Questo è importante perché vi è un’innovazione significativa anche sotto il profilo valoriale: registriamo sostanzialmente un’impostazione garantista sottesa alla protezione dei dati personali. Le stesse definizioni ricalcano quelle del GDPR ed è stato inoltre riproposto lo stesso ampio ventaglio di diritti dell’interessato, introducendo diritti prima sconosciuti come quello alla portabilità. Sono aumentate le sanzioni ed è prevista una figura come il DPO, il Personal information protection officer (art. 52 PIPL).

Ci sono tuttavia anche importanti differenze, per esempio nella disciplina sul trattamento dei dati sensibili, dove troviamo una categoria di dati sensibili molto ampia, con una definizione aperta ed una possibilità di trattamento molto più estesa rispetto al GDPR (art. 28 PIPL). Viene ancora a prevalere la base giuridica del consenso al trattamento rispetto al GDPR nel quale non riveste più un ruolo centrale. In alcune circostanze è obbligatorio archiviare i dati in Cina, per esempio per gli operatori delle infrastrutture cosiddette “critiche”. Inoltre, nei casi previsti, per trasferire i dati all’estero, ci si deve rivolgere all’autorità per svolgere un security assessment e avere l’autorizzazione (art. 38 PIPL). Questo potrebbe portare ad un contrasto tra le due normative, rischiando di ostacolare piuttosto che facilitare la libera circolazione dei dati come invece è nella ratio di entrambe le norme.

Nella PIPL, come in tutte le leggi cinesi, si fa un grande rinvio ai regolamenti attuativi, un rinvio molto più significativo che nel GDPR, con il rischio di perdere la determinatezza della fattispecie ed il garantismo ora presente.

Per avere un quadro completo si dovrà dunque attendere un po’ di tempo sia perché, come per il GDPR, gli operatori del diritto dovranno assimilare le suddette norme sia perché ci sono numerose disposizioni che necessitano di attuazione.

Su questo peseranno anche gli sviluppi degli attuali rapporti tra Stati Uniti e Cina e di conseguenza di progetti quali la via della seta che, come già successo, potrebbero arrestarsi e non proseguire, portando un irrigidimento anche rispetto alla libera circolazione dei dati.

Oppure si potrà prendere la strada opposta: il garantismo mutuato dal GDPR e trasferito nella PIPL potrebbe addirittura avere una vis espansiva e diventare un catalizzatore di riforme. La Cina potrebbe a quel punto essere considerata anche un paese adeguato per la Commissione Europea e si troverebbe a competere anche su questo ambito con gli Stati Uniti. Si tratta di una strada decisamente in salita.

Probabilmente la soluzione starà tra questi due estremi, attraverso una graduale comprensione della PIPL, la diffusione della cultura che essa reca e la dotazione di strumenti idonei per l’enforcement, anche tramite la formazione di giuristi specializzati nella materia.

In concreto, per ora, quello che dovrà avvenire per le imprese operanti nel territorio cinese e in quello europeo o comunque sottoposti ai due sistemi secondo le ipotesi di extraterritorialità, sarà la necessità di creare due sistemi di compliance per entrambe le normative, che prevedano (fra l’altro) soggetti designati al proprio interno in grado di cooperare con tutte le autorità competenti.