Skip to main content
search
NewsPrivacy & IT e Cybersicurezza

Le Misure sulla valutazione della sicurezza del trasferimento transfrontaliero di dati emanate dalla Cina

By 29 Agosto 2022Novembre 25th, 2022No Comments

La Cina ha emanato le Misure sulla valutazione della sicurezza del trasferimento transfrontaliero di dati

Il 7 luglio 2022, la Cyberspace Administration of China (“CAC”) ha pubblicato le misure sulla valutazione della sicurezza del trasferimento transfrontaliero di dati (la “Misura”), che entrerà in vigore il 1 ° settembre di quest’anno.  Queste misure interesseranno tutte le parti coinvolte nel trattamento dei dati provenienti dalla Cina verso altri paesi.

Self-Assessment

La misura sottolinea che i responsabili del trattamento dei dati devono garantire che i dati trasferiti siano sufficientemente protetti. Tutti i responsabili del trattamento che intendono effettuare trasferimenti transfrontalieri di dati sono tenuti a completare un’autovalutazione interna e, in alcune circostanze, anche a superare una valutazione di sicurezza presso la CAC  (di seguito), prima di trasferire i dati al di fuori della Cina.

L’articolo 5 della Misura guida le imprese sui rischi da valutare prima del trasferimento internazionale di dati:

  • la legalità, l’adeguatezza e la necessità del trasferimento transfrontaliero di dati;
  • la portata, il tipo e la sensibilità dei dati esportati e i potenziali rischi per la sicurezza nazionale, gli interessi pubblici e i diritti e gli interessi legittimi di individui o organizzazioni;
  • l’impegno del destinatario estero ad assumersi responsabilità e obblighi e la capacità del destinatario di garantire la sicurezza dei dati;
  • in caso di violazione dei dati, se siano disponibili i canali per la salvaguardia dei diritti e degli interessi degli interessati; e
  • se le responsabilità e gli obblighi in materia di protezione dei dati sono stabiliti nel contratto tra il responsabile del trattamento dei dati e il destinatario estero.

 

CAC Security Assessment

Le entità che raggiungono uno dei seguenti criteri devono richiedere e superare una valutazione della sicurezza organizzata dalle autorità provinciali dell’amministrazione sul cyberspazio o dal CAC:

  • trasferire dati importanti raccolti o generati dai gestori di infrastrutture critiche informatizzate;
  • Trasferimento di dati importanti;
  • Raccoglie informazioni personali di oltre 1 milione di persone;
  • Trasferire informazioni personali di oltre 100.000 persone,
  • Trasferire informazioni personali sensibili di oltre 10.000 persone;
  • Altre circostanze specificate dal CAC.

Quando viene attivato uno dei precedenti criteri, su richiesta del responsabile del trattamento dei dati, il CAC generalmente prenderà in considerazione i seguenti fattori:

  • la liceità, la legittimità e la necessità del trasferimento transfrontaliero dei dati in termini di finalità, ambito, metodo, ecc.;
  • il contesto giuridico del paese in cui si trova il destinatario;
  • il livello di protezione dei dati del destinatario estero;
  • la quantità, l’ambito, il tipo e la sensibilità dei dati e i rischi della violazione dei dati
  • se la sicurezza dei dati e i diritti e gli interessi delle informazioni personali possano essere effettivamente garantiti;
  • se le responsabilità e gli obblighi in materia di protezione dei dati sono stipulati nel contratto tra il responsabile del trattamento dei dati e il destinatario estero;
  • il rispetto delle leggi, dei regolamenti e delle norme della RPC;
  • altre questioni da valutare come ritenuto dall’autorità nazionale di amministrazione del cyberspazio.

Su richiesta presentata dai responsabili del trattamento dei dati, il CAC dovrà confermare se accettare la domanda entro 7 giorni lavorativi e avrebbe 45 giorni lavorativi (o 60 giorni lavorativi per casi più complessi) per completare la valutazione. Il risultato della valutazione e’ efficace per due anni, a meno che (1) non cambino lo scopo, i mezzi, l’uso, la portata e il tipo del trasferimento transfrontaliero; (2) il periodo di conservazione si estende; (3) le leggi applicabili al destinatario dei dati cambiano o l’accordo di trasferimento dei dati viene modificato e (4) altre circostanze che potrebbero influire sulla sicurezza dei dati trasferiti.

Da quando la legge sulla protezione delle informazioni personali (PIPL) è entrata in vigore nel 2021, abbiamo assistito a progetti di regolamenti, misure e standard nazionali rilasciati dalle autorità competenti. Questo settore del diritto è diventato più completo rispetto al passato. Si raccomanda alle società di allocare risorse per essere conformi alla legge cinese sulla protezione dei dati su base continuativa e ricorrere a professionisti per l’assistenza in caso di necessità come il nostro studio legale.

Noi di Wang Jing & GH Law Firm abbiamo una lunga e solida esperienza nella consulenza ai nostri clienti locali e stranieri sulla protezione dei dati e sulla legge sulla sicurezza in Cina, nell’UE (GDPR) e negli Stati Uniti, ponendoci come leader nel settore. Pertanto, in caso di domande non esitate a contattarci.

[vc_single_image image=”409″ img_size=”medium” alignment=”center” style=”vc_box_border” border_color=”white”]

Franco Fornari

+86 02038641888
fornari@wjngh.cn

[vc_single_image image=”421″ img_size=”medium” alignment=”center” style=”vc_box_border” border_color=”white”]

Eloisa Hu

+86 02038641888
eloisahu@wjngh.cn