dati

Dialoghi – Come la Cina sta regolando il flusso transfrontaliero di dati

In Cina, Dialoghi: Confucio e China Files by Lucrezia Goldin

Dopo la legge sulla sicurezza dati del 2021, nuove misure sul trasferimento transfrontaliero vincoleranno le informazioni prodotte da server cinesi al controllo statale. “Dialoghi” è una rubrica in collaborazione tra China Files e l’Istituto Confucio di Milano

Creato il cappio, prosegue la stretta. Lo scorso 1° giugno Pechino ha introdotto nuove misure per il trasferimento transfrontaliero di dati per le aziende che gestiscono le informazioni personali di un numero inferiore al milione di utenti. Secondo la norma, le multinazionali che processano, gestiscono o utilizzano dati personali avranno l’obbligo di stipulare un contratto con il destinatario straniero previa approvazione delle autorità cinesi.

La norma – Le disposizioni appena entrate in vigore sono contenute in un emendamento alla legge sulla privacy del 2021, la Personal Information Protection Law che, tra le altre cose, inquadrava il trasferimento cross-border dei dati prodotti dalle aziende operative in Cina attraverso tre soluzioni:

  1. La firma di un contratto standard di trasferimento di dati oltre i confini nazionali, con supervisione del garante del digitale in Cina, la Cybersecurity Administration of China (Cac).
  2. Sottoporsi a una procedura di revisione della sicurezza sempre a cura della Cac.
  3. Ottenere una certificazione da un’azienda qualificata che attesti la corretta protezione delle informazioni aziendali secondo i parametri richiesti dal governo

Tutti passaggi in precedenza obbligatori per le aziende che gestiscono una grande mole di dati, e che da inizio giugno saranno applicate anche a quelle che hanno tra le mani (solo) i dati di meno di un milione di persone. Non solo. Se la triade di norme a regolamentazione del settore tech (Cybersecurity Law, Data Security Law e Personal Information Protection Law) facevano riferimento principalmente ai dati sensibiliimportanti relativi a industrie chiave secondo il governo cinese, il nuovo emendamento si applica potenzialmente a tutte le aziende che debbano trasferire dati oltre i confini della Repubblica popolare cinese.

Responsabilità e sicurezza – Come già per la Dsl, l’emendamento prevede che siano le aziende che raccolgono dati a essere responsabili del loro corretto e legale trasferimento, pena sanzioni pecuniarie o la chiusura dell’azienda stessa.

Mentre il governo prova a regolamentare il flusso di dati, rimane il problema dei loro destinatari. I nuovi contratti richiesti dalla Cac richiedono di includere informazioni sulle aziende destinatarie dei pacchetti dati, elemento accolto con riluttanza dalle già scettiche aziende straniere. I big della Silicon Valley ad esempio hanno reso chiaro che “non hanno intenzione di cooperare con le ispezioni di sicurezza della Cina”.

Controllo in potenza – Il problema è sempre lo stesso. Nonostante gli sforzi di legiferazione dimostrati da parte del governo cinese negli ultimi anni, le leggi che riguardano la sicurezza dati sono considerate da diversi analisti ancora troppo vaghe e colme di aree grigie. Per come sono strutturate, in caso di infrazione da parte delle aziende cinesi, su dati cinesi trasferiti all’estero, la supervisione statale potrebbe estendersi anche oltre i confini del Paese, in virtù del sovranismo rivendicato sui dati prodotti in Cina.

Il business delle ispezioni – C’è poi la questione delle ispezioni. Con il nuovo apparato legislativo sta nascendo in Cina un business fiorente delle agenzie di ispezione e certificazione che supportano la Cac nelle revisioni di sicurezza delle aziende che operano con grandi quantità di informazioni.  Ogni contratto per il trasferimento transfrontaliero di dati deve infatti essere registrato presso le autorità di sicurezza locali che fanno capo alla Cac, che da sola non riesce tuttavia a gestire la crescente domanda di audit.

E anche quando il controllo c’è, sono poche le aziende che riescono a passare al vaglio del mastino del digitale cinese. Secondo quanto riporta Caixin, il dipartimento di sicurezza informatica di Shanghai nei primi quattro mesi del 2023 ha passato al vaglio 400 certificazioni di sicurezza, approvandone solamente lo 0.5%. Allo stesso modo a livello nazionale delle 1000 richieste di trasferimento dati all’estero ricevute dalla Cac quest’anno, solamente 10 sono passate al secondo grado di ispezione da parte delle autorità competenti.

Di Lucrezia Goldin