Le imprese europee attendono che venga fatta chiarezza sulla normativa in tema di dati personali
Navigare tra le complessità delle normative cinesi sui dati personali
La Cina, la più grande economia emergente del mondo, e l'UE, il più grande blocco commerciale, rappresentano attori globali fondamentali. Nel 2022, la Cina è stata il terzo partner dell’UE per le esportazioni di beni (9,0%) ed il primo per le importazioni (20,8%). Sebbene le dimensioni del mercato cinese offrano un enorme potenziale per le imprese e gli investimenti europei, fare affari in Cina non è mai stata una passeggiata, soprattutto per quanto riguarda la governance dei dati personali. Negli ultimi anni, la Cina ha emanato diverse riforme normative concernenti le modalità di gestione dei dati, tra cui quelle in tema di trasferimenti transfrontalieri di dati nel 2022 e di esportazione di informazioni personali nel 2023. Una serie di leggi esistenti - la legge sulla cybersecurity (CSL) del 2017, la legge sulla sicurezza dei dati (DSL) del 2021 e la legge sulla protezione delle informazioni personali (PIPL) - costituisce il quadro legislativo fondamentale in tema di privacy e sicurezza dei dati. Per molti anni, le autorità di regolamentazione e gli organismi di normazione cinesi hanno cercato di migliorare la protezione delle informazioni personali e dei dati importanti. Tuttavia, nonostante le recenti modifiche legislative, la normativa cinese sui dati continua a porre notevoli problemi sia operativi che di conformità per i potenziali investitori e le aziende straniere - non solo europee - che operano nel Paese.
Come significativa sfida, l'indagine condotta dalla Camera Europea sulle conseguenze della normativa cinese in materia di dati evidenzia che la stragrande maggioranza (96%) dei trasferimenti transfrontalieri di dati delle aziende europee consiste in trasferimenti interni verso le sedi centrali (HQ) o altre sedi regionali. Di conseguenza, il rischio associato alla protezione dei dati è relativamente basso. Tuttavia, l'impatto delle attuali normative sui dati può essere rilevante, in quanto obbliga molte aziende a sottoporsi ad una valutazione regolamentare della sicurezza (30%), con conseguenti aumenti dei costi di conformità (59%) e pressioni per la localizzazione dei dati, dei sistemi informatici (IT) o delle operazioni nel loro complesso (41%).
L'incertezza rimane
La recente legislazione – che include la modificata legge cinese contro lo spionaggio, nonché la nuova legge sulle relazioni con l'estero - indica anche una crescente attenzione alla sicurezza nazionale in un'ampia gamma di settori, il che spinge le imprese a esercitare ancora più cautela. In un contesto imprenditoriale sempre più politicizzato, le sfide per orientarsi nella complessità delle normative cinesi sono destinate ad aumentare.
L'ambiguità delle normative fa sì che l'incertezza rimanga una caratteristica fondamentale dell'ambiente imprenditoriale cinese, in un momento in cui la vacillante ripresa economica della Cina presenta sfide preoccupanti per i prossimi anni, in particolare con l'incombente crisi immobiliare e i bassi tassi di occupazione giovanile.
Infatti, queste normative in tema di dati mancano di chiarezza, in particolare nel definire la portata di termini come "dati importanti". Ad esempio, non è ancora disponibile un catalogo accessibile al pubblico che delinei le specifiche dei "dati importanti", nonostante ciò sia stato prescritto dalla DSL. La chiarezza sulla definizione di "dati importanti" è fondamentale, in quanto è alla base degli onerosi requisiti per sottoporsi agli speciali meccanismi di trasferimento transfrontaliero di dati, come le valutazioni di sicurezza supplementari.
Sfide operative
I requisiti troppo stringenti stanno inoltre aggravando gli oneri operativi per le aziende europee che trasferiscono dati al di fuori della Cina, nell'ambito delle loro operazioni commerciali internazionali. Ad esempio, le soglie di valutazione della sicurezza previste dalla normativa sono relativamente basse, soprattutto per le grandi multinazionali che gestiscono enormi volumi di dati di clienti o dipendenti. Di conseguenza, molte aziende che hanno attivato tale valutazione normativa della sicurezza sono state colpite dalle soglie per il trasferimento di informazioni personali all'estero. Ciò lascia molte aziende a valutare i propri livelli di maturità in materia di conformità dei dati, considerando le severe sanzioni previste dalla legge sulla sicurezza dei dati in caso di gestione scorretta di questi ultimi.
In termini di trasferimenti transfrontalieri di dati, l'indagine della Camera europea sulla regolamentazione dei dati pubblicata nel novembre 2023 rileva che le informazioni personali dei dipendenti rappresentano la maggioranza (78%), seguite dalle informazioni personali di fornitori e clienti (67%). Ciò comporta che l'esenzione per i trasferimenti di dati necessari per le risorse umane (HR) o per l'esecuzione di un contratto potrebbe essere di grande utilità per la comunità imprenditoriale europea, dato che il 65% degli intervistati ha dichiarato di trasferire i propri dati oltre confine per uno di questi due motivi.
Quale sarà il futuro del trasferimento transfrontaliero dei dati?
In risposta alle crescenti preoccupazioni della comunità aziendale, le autorità cinesi hanno intrapreso azioni per migliorare le normative sulla gestione dei dati. Nell’agosto del 2023, il Consiglio di Stato ha pubblicato 24 linee guida per ottimizzare l'ambiente degli investimenti esteri in Cina, al fine di attrarne di ulteriori. Queste linee guida raccomandano anche l'ottimizzazione dei meccanismi di sicurezza per il flusso transfrontaliero dei dati. Ad esempio, si è proposto di avviare in alcune città e regioni della Cina, tra cui Pechino, Shanghai e l'area della Greater Bay, la sperimentazione della creazione di un elenco di dati generali autorizzati a fluire liberamente.
Una prima bozza di disposizioni sulla promozione del flusso transfrontaliero di dati, pubblicata dalla Cyberspace Administration of China (CAC) nel settembre 2023, rafforza questi segnali positivi. La bozza specifica un elenco di esenzioni dagli obblighi pertinenti e fornisce un po' più di chiarezza su come verificare ciò che viene considerato dalle autorità come "dati importanti". Le bozze delle disposizioni di cui sopra potrebbero notevolmente mitigare i rischi normativi legati ai dati, introducendo un approccio più trasparente alla regolamentazione e rafforzando la fiducia degli investitori. Tuttavia, è ancora necessaria un'attenta analisi del loro pieno impatto, che dipenderà in larga misura dall'attuazione pratica delle soglie pertinenti. Considerato che la CAC e altri regolatori mantengono l'autorità per determinare quando un'azienda detiene 'dati importanti', questi sviluppi non eliminerebbero completamente i rischi normativi legati ai dati, ma comunque li abbasserebbero significativamente.
Invito alla chiarezza
Con l'inasprimento del controllo sui dati nazionali e sui trasferimenti transfrontalieri, è chiaro che il fine ultimo della Cina è quello di aumentare la sicurezza nazionale. Tuttavia, questo porta anche all'enigma delle autorità di regolamentazione che devono bilanciare due obiettivi contrastanti: migliorare le misure di sicurezza dei dati e promuovere la crescita economica.
Finora, l'impatto sulle strategie aziendali è stato limitato. Solo una quota minima dei partecipanti all'indagine sta considerando o ha già effettuato spostamenti degli investimenti al di fuori della Cina come conseguenza delle riforme sulla regolamentazione dei dati. Sebbene le riforme sulla regolamentazione dei dati abbiano rafforzato i meccanismi di protezione dei dati di alcune aziende, i crescenti costi di conformità e la pressione per la localizzazione dei sistemi di dati sono fattori negativi significativi. Mentre alcune aziende stanno valutando le loro opzioni, le autorità cinesi hanno ancora l'opportunità di intervenire. Considerando il lento momento di ripresa economica in Cina, affrontare queste preoccupazioni di conformità sulla regolamentazione dei dati potrebbe essere più favorevole per attirare gli investimenti esteri necessari in Cina.
A cura di: Avv. Carlo Diego D’Andrea, Vice Presidente della Camera di Commercio dell’Unione Europea in Cina
