0
China's Cybersecurity Law

Comparazione tra GDPR Europeo e China’s Cybersecurity Law

In questa pubblicazione cercheremo di approntare una primitiva e superficiale analisi comparata tra le disposizioni chiave del GDPR (il nuovo Regolamento Europeo sulla protezione dei dati) e quelle della “Legge sulla Sicurezza Informatica della Repubblica Popolare Cinese”, nota anche come CSL (acronimo di China’s Cybersecurity Law).

Le istituzioni dell’Unione Europea hanno approvato il GDPR nel maggio 2016, il Congresso Nazionale del Popolo della Repubblica Popolare Cinese ha approvato nel novembre dello stesso anno la Legge sulla Sicurezza Informatica della Cina, una nuova legislazione che ha come obiettivo quello di produrre un quadro normativo evoluto e come vedremo più avanti “multi-utility” in materia di protezione dei dati e di sicurezza informatica (vorrei osare e anticipare sin d’ora altresì cyber-espionage cyber spying).

La deadline di piena operatività del GDPR è stata individuata nel 25 Maggio 2018, (mentre il CSL è divenuto pienamente efficace il 1 giugno 2017) con la chiusura del periodo transitorio e richiedendo a tutti i destinatari la piena aderenza alla nuova disciplina.

In questo momento storico, discutere delle similitudini e delle differenze tra i diversi requisiti di conformità delle due normative, potrà servire ad aiutare le aziende coinvolte nel loro business tra la Cina e l’Unione Europea.

Qualificandosi a livello di fonte del diritto quale Regolamento comunitario, il GDPR ha portata generale, è direttamente applicabile e obbligatorio in tutti i suoi elementi.

In tema di protezione dei dati personali i singoli Stati membri saranno liberi di implementare discipline integrative interne più stringenti, che vadano a normare per esempio la disciplina del Data Protection Officer (DPO) e l’età del consenso in relazione ai minorenni.

In aggiunta, il contenuto del GDPR andrà approfonditamente monitorato ed il suo rispetto sarà vigilato all’interno dello European Data Protection Board, nuovo organismo dotato di personalità giuridica, previsto dall’art. 68 del GDPR stesso.

L’ EDPB raccoglierà i rappresentanti delle Autorità garanti dei dati di ciascun Stato membro, lo European Data Protection Supervisor ed un rappresentante della Commissione europea; questo nuovo comitato andrà a sostituire il WP29 (Article 29 Working Party).

Sebbene l’ordinamento giuridico cinese non condivida le peculiarità strutturali del corrispondente Ordinamento Comunitario, la portata delle disposizioni vigenti nel PRC in materia di protezione dati è molto ampia, includendo numerose norme che si applicano a diversi settori industriali, come le “Misure Amministrative per l’Online Trading nell’e-commerce”, le “Disposizioni Amministrative per gli SMS” e le “Disposizioni sulla Protezione delle Informazioni Personali degli Utenti di Telecomunicazioni ed Internet” per il comparto ICT.

A tutte queste frastagliate discipline satellitari si affianca la “legge generale sulla protezione dei dati” acronimizzata come China’s Cybersecurity Law.

Questo singolare assetto “arcipelagico” fa trasparire come la materia in oggetto sia in costante evoluzione, sottoposta a frequenti progetti revisionali volti a garantirne la corretta applicazione.

Apparentemente un primo punto di contatto tra il GDPR ed il China’s Cybersecurity Law è individuabile già dalla definizione giuridica di “dati personali” (personal data).

La definizione del GDPR si trova all’Art. 4.1, che può essere scomposta in quattro sotto-componenti:

  • qualunque informazione
  • relativa a
  • un’identificata o identificabile
  • persona fisica

Queste quattro componenti sono presenti anche nella definizione di personal informationdata dall’Art. 76.5 del China’s Cybersecurity Law, in aggiunta a quella di dati personali:

  • qualunque tipo di informazione
  • registrata elettronicamente o in altro modo
  • che possa essere usata indipendentemente o in combinato con altre informazioni
  • per identificare
  • una persona fisica

L’elemento chiave che emerge in questa comparazione è pertanto ravvisabile nella apparente similarità sussitente tra la definizione di “informazioni personali” prevista in Cina e nell’Unione Europea permettendo quindi, agli organismi di controllo dei ed ai responsabili del trattamento, di stabilire rapidamente se determinati dati debbano essere qualificati come personali in entrambi gli ordinamenti e se ritenere dunque sussistente l’applicabilità delle rispettive disposizioni in materia.

Una differenza sostanziale, ravvisabile tra la disciplina europea e quella della terra che Marco Polo chiamava “Catai” e prima ancora Virgilio definiva “Serica”, è rappresentata dalla extraterritorialità del GDPR e dalla Cyber-sovranità del CSL.

L’Art. 3.2.a del GDPR chiarisce che, anche un’azienda stabilita al di fuori dell’Unione Europea, che offra beni o servizi a cittadini europei, (indipendentemente dalla natura onerosa o meno) ricada comunque nell’ambito di applicazione del GDPR, garantendo pertanto una efficacia extraterritoriale al regolamento stesso.

Al contrario, il principio di cyber-sovranità su cui il China’s Cybersecurity Law si basa, si riflette esclusivamente nell’ambito territoriale del CSL, delimitato dall’Art. 2 al solo territorio della Repubblica Popolare Cinese.

Con un contrasto di tale portata, si può pertanto pacificamente concludere che si venga a creare una evidente asimmetria nella portata delle due discipline: le aziende stabilite unicamente in Cina, che svolgano attività sia in Cina che in Unione Europea, dovranno conformarsi sia alla China’s Cybersecurity Law che al GDPR, mentre le aziende stabilite solamente nell’Unione saranno sottoposte unicamente alla disciplina di del GDPR.

Altro profilo di significativa differenza, il regime giuridico della protezione cibernetica.

In Europa la cybersecurity è normata in via principale dalla “Direttiva sulla sicurezza e sulla rete dei sistemi informatici” (c.d. Direttiva NIS, dell’agosto 2016) la quale –al di là delle previsioni di portata generale rivolte alle istituzioni- introduce requisiti di sicurezza, obblighi di notifica e procedure di incident response.

Seppure esclusivamente circoscritta a specifici profili aderenti alla tutela dei dati “personali”, anche il GDPR prevede una autonoma disciplina, che può sovrapporsi a quella NIS, in materia di Data Breach e misure di sicurezza (tecniche di cifraturapseudonimizzazionecrittografia– valutazione dei rischimisure tecniche ed organizzativepenetration test ex art. 32 Gdpr); vero e proprio pilastro su cui GDPR posa la propria efficacia, il nuovo concetto giuridico di “privacy-by-design” (art. 25 GDPR) impone di attuare misure di protezione del dato, sin dalla progettazione della operazione di trattamento.

Il GDPR lascia comunque un relativo margine di scelta rispetto al tipo di misure di sicurezza da adottare per massimizzare la mitigazione dei rischi, ma nei casi in cui vi sia una particolare esposizione al rischio della sicurezza-diritti-libertà delle persone (IoT, Wearable in primis…) GDPR prevede un ulteriore strumento di tutela preliminare chiamato Data Protection Impact Assessment (DPIA).

Al contrario, il focus giuridico del CSL cinese è quello di istituire uno schema normativo generale per la sicurezza informatica , così come evidenziato negli artt. 2 e 9 del corpus normativo in esame.

In questo senso, il China’s Cybersecurity Law può essere considerato come una legge che cerca di unire la sicurezza informatica e la protezione dei dati per fonderle in un’unica disciplina, spingendo ancora oltre l’idea che la sicurezza informatica e la protezione dei dati non possano sopravvivere l’una senza l’altra.

Il regime sanzionatorio infine, vede un approccio di policy simile da parte dei due legislatori, nel caso del GDPR -a seconda della gravità della violazione- gli Artt. 83.4 ed 84.5 prevedono –a seconda dei casi- una sanzione ricompresa tra € 10.000.000,00 ed € 20.000.000, oppure dal 2% al 4% del fatturato annuo globale.

Nel caso della China’s Cybersecurity Law, apparentemente le sanzioni possono sembrare meno gravi rispetto alla disciplina europea (la sanzione più elevata è pari a 10 volte i guadagni illeciti ex Articolo 64 del CSL), ciò non significa tuttavia che il legislatore non abbia predisposto adeguati strumenti di intensificazione sanzionatoria (un po’ troppo discrezionali…)

La Cyberspace Administration of China (CAC) -nota anche come Office of the Central Leading Group for Cyberspace Affairs- insieme alle altre autorità istituzionali cui il CSL fornisce massima (eccessiva?) autonomia d’azione in materia, possono sanzionare un operatore di rete con la chiusura del sito web, la sospensione temporanea o definitiva della licenza o la applicazione di pene detentive in caso di circostanze particolarmente gravi.

Abbiamo volutamente lasciato in calce la analisi dell’elemento forse più criticato della disciplina cinese in materia di Cybersecurity, quello dell’ambito di applicazione.

Purtroppo la decifrazione di quali siano i soggetti giuridici destinatari della normativa CSL , così come quale sia l’esatta portata delle disposizioni appaiono estremamente ardue, in ragione della vaghezza adottata dal legislatore nelle formulazioni di diversi istituti.

La maggior parte delle società multinazionali presenti sul territorio cinese si sono quindi trovate ad affrontare – in questi primi sei mesi di applicazione normativa – una serie di incertezze assai impattanti in termini di compliance e delle potenziali esposizioni legali ad essa correlate.

La portata estremamente ampia e vaga della definizione di operatori di “critical information infrastructure” (C.I.I.) racchiude sicuramente in sé i comparti industriali tradizionalmente “critici”, Energy, Transport, Finance; tuttavia la China’s Cybersecurity Law fa altresì espresso riferimento a qualunque infrastruttura che possa apportare pregiudizio al “people’s livelihood” (sostentamento della popolazione). 

E’ evidente che con questa “norma aperta”, qualunque società estera che sia coinvolta nella catena di approvvigionamento di un settore critico, oppure che disponga di un quantitativo significativo di informazioni di cittadini o asset cinesi…potrebbe diventare bersaglio di enforcement del CSL da parte delle autorità di controllo.

Le implicazioni di questa scarsa chiarezza nella definitoria ovviamente stanno già manifestando importanti ripercussioni sotto diversi profili:

  • sottoposizione ad intrusive attività ispettive dei propri asset ICT
  • sottoposizione della tecnologia (prodotti e servizi) a procedure di “National Security Review”
  • rischio di evidenti violazioni dei segreti industriali e delle intellectual property

Come già evidenziato, il CSL lascia ampia discrezionalità operativa alla autorità di controllo e a numerose altre istituzioni governative, con riferimento alla facoltà di condurre tali operazioni ispettive di verifica.

Il rischio più evidente derivante da tale formulazione normativa eccessivamente aperta e da un uso strumentale della stessa in ottica di CYBER ESPIONAGE è senz’altro rappresentato dagli effettivi potenzialmente distruttivi in termini di business disruption e di ulteriore surriscaldamento delle relazioni diplomatiche sino-mondiali.

Per qualunque approfondimento ci puoi contattare usando il form presente in questa pagina, saremo lieti di potervi assistere.

1 Star2 Stars3 Stars4 Stars5 Stars (5 votes, average: 4,80 out of 5)
Loading...

Lascia un commento

Your email address will not be published.