Salta al contenuto

Ora anche la Cina vuole (forse) il suo GDPR

Niente battute sui cinesi che copiano perché quando si copiano le cose fatte bene, va bene così.

Sembra che in Cina stia scrivendo una legge che, finalmente, riconosce la protezione dei dati personali come una cosa seria.

La strada è quella giusta e la notizia è da salutare con favore.

Il Governo cinese sta lavorando a un proprio testo unico sulla protezione dei dati personali in ambito pubblico e privato e il testo pubblicato in draft nelle scorse settimane, almeno stando a quanto è possibile capire dalle traduzioni non ufficiali disponibili ricalca in termini di impostazione generale e struttura il nostro ormai celeberrimo GDPR, il regolamento generale sulla protezione dei dati personali.

È una buona notizia specie in considerazione del successo crescente di alcune app e servizi cinesi e del grande successo di mercato di Huawei.

Negli ultimi anni, d’altra parte, l’enorme asimmetria regolamentare tra Cina, Europa e molti altri Paesi al mondo ha creato problemi non di poco conto all’industria cinese del web e delle telecomunicazioni il che ha, probabilmente, convinto il Governo che era il momento di mettersi sulla strada giusta.

Nessuna certezza, ancora, su quello che sarà il contenuto definitivo della legge ma alcuni punti fermi iniziano a essere chiari.

Nessuno, tanto per cominciare, potrà più – dopo che la legge sarà stata adottata sempre che sia adottata nella formulazione oggi nota – esigere dall’utente di un’app o di un servizio una montagna di dati personali non strettamente necessari all’utilizzo dell’app o del servizio in questione specie senza chiarire in maniera puntuale quali sono le finalità per le quali intende trattare ogni categoria di dati e ottenere un consenso che, sulla falsariga della nostra disciplina, dovrà essere liberamente espresso dall’interessato.

Il che ribalterebbe una prassi al contrario straordinariamente diffusa attualmente in Cina.

E il draft della nuova legge fa, sostanzialmente sua, l’impostazione del GDPR anche in termini di obbligo di informativa anche da parte dei soggetti pubblici, di basi giuridiche del trattamento che sembrano destinate a essere più o meno le stesse previste dalla disciplina del GDPR e di sanzioni, dove, anzi, almeno per le ipotesi più gravi, il Governo di Pechino, pensa a una sanzione massima pari al 5% del fatturato annuale del titolare del trattamento e, quindi, superiore a quella prevista nel GDPR.

Il draft, naturalmente, merita una riflessione maggiore e più approfondita rispetto a questa ma già balza agli occhi uno dei principali limiti: la vigilanza sul rispetto delle regole non sarà attribuita a un’Autorità indipendente ma a un dipartimento del Governo.

Un limite non da poco, in particolare, in relazione a tutti i trattamenti di dati personali dei quali il titolare sarà il Governo stesso.

E, poi ciliegina sulla torta, per incuriosire a tutti a correre il draft della nuova legge: il Governo sembra intenzionato a mettere nero su bianco – per la verità senza grandi soprese nel Paese della grande muraglia – che i dati trattati da titolari pubblici dovranno essere esclusivamente trattati in Cina, con buona pace di tutte le discussioni in corso, negli ultimi mesi, in Europa a proposito di cloud pubblico e dintorni.

La grande muraglia del web, insomma, non arretra di un solo bit.