lsnn
lsnn
2023-02-04 00:05:31
Sabato 03:11:36
Febbraio 04 2023

Cina: specifica TC260, rivista sulla certificazione dell'elaborazione transfrontaliera - Cosa devi sapere

View 2.4K

word 2.4K read time 11 minutes, 56 Seconds

Il 16 dicembre 2022, il National Information Security Standardization Technical Committee of China ("TC260") ha pubblicato una versione riveduta delle Practice Guidelines for Cybersecurity Standards - Technical Specification for the Certification of Cross-Border Processing of Personal Information ("le specifiche di certificazione riviste ')[1], meno di sei mesi dall'emissione della prima versione del Disciplinare di Certificazione[2].

In questo articolo, James Gong, partner di Bird & Bird, evidenzia le disposizioni chiave della specifica di certificazione rivista, con riflessioni conclusive sull'impatto della stessa, in particolare rispetto alla bozza di contratto standard per l'esportazione di informazioni personali ("la bozza di contratto standard ')[3]

Approfondimento

L'articolo 38 della Legge sulla protezione dei dati personali della Repubblica popolare cinese ("PIPL") prevede tre percorsi per i responsabili del trattamento dei dati personali che esportano dati personali fuori dalla Cina continentale, vale a dire:

  • il superamento di una valutazione di sicurezza governativa come richiesto per gli operatori e le organizzazioni di infrastrutture informatiche critiche che elaborano informazioni personali raggiungendo una determinata soglia specificata dalla Cyberspace Administration of China ("CAC");
  • ottenimento di una certificazione di protezione delle informazioni personali da parte di un ente accreditato dal CAC ("certificazione per l'esportazione di informazioni personali"); O
  • stipulando un contratto tipo con il destinatario estero.

Si prega di notare che un responsabile del trattamento dei dati personali è definito ai sensi del PIPL come un'organizzazione o un individuo che determina autonomamente le finalità e i mezzi del trattamento, analogamente al concetto di responsabile del trattamento dei dati ai sensi del Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) ("GDPR") dell'UE.

Inoltre, il PIPL stabilisce anche che il CAC coordinerà i ministeri competenti per supportare i servizi di valutazione e certificazione della protezione delle informazioni personali.

Nel novembre 2022, l'Amministrazione statale per la regolamentazione del mercato ("SAMR") e il CAC hanno pubblicato congiuntamente un annuncio [4] per attuare un regime di certificazione della protezione delle informazioni personali e pubblicato le relative norme di attuazione ("le norme di certificazione") [5] . Le Norme di certificazione stabiliscono il quadro del regime di certificazione della protezione delle informazioni personali e richiedono inoltre ai responsabili del trattamento delle informazioni personali che esportano informazioni personali al di fuori della Cina di conformarsi alla Specifica di certificazione rivista; pertanto le Regole di Certificazione si applicano anche alle certificazioni di esportazione di informazioni personali.

In combinazione con le regole di certificazione, la specifica di certificazione rivista è un'ulteriore mossa del governo della Repubblica popolare cinese ("il governo") per completare il regime per la certificazione dell'esportazione di informazioni personali.

Disposizioni chiave

Chi può richiedere una certificazione per l'esportazione di informazioni personali?

La specifica di certificazione rivista prevede chi è qualificato per richiedere la certificazione di esportazione di informazioni personali, vale a dire:

  • Le entità situate in Cina possono richiedere la certificazione per l'esportazione di informazioni personali in relazione alla condivisione di informazioni personali all'interno di una società multinazionale o di un ente economico o pubblico.
  • I rappresentanti locali stabiliti o designati dai responsabili del trattamento dei dati personali all'estero possono presentare la domanda per conto dei responsabili del trattamento dei dati personali stranieri. Ai sensi del PIPL, un elaboratore di informazioni personali straniero soggetto all'effetto extraterritoriale deve stabilire o nominare un rappresentante locale in Cina.

Mentre il PIPL tace sulla responsabilità dei rappresentanti locali, la specifica di certificazione rivista va oltre e pretende di ritenere il rappresentante locale responsabile delle sue azioni relative alla certificazione. Sebbene la specifica di certificazione rivista non specifichi quale sarà tale responsabilità legale, renderebbe indubbiamente più difficile per un elaboratore di informazioni personali straniero designare un rappresentante in Cina.

Requisiti di certificazione

La specifica di certificazione riveduta stabilisce i requisiti per la certificazione in quattro aspetti principali, vale a dire un documento giuridicamente vincolante e applicabile, la gestione organizzativa, le norme unificate sul trattamento transfrontaliero e le valutazioni d'impatto sulla protezione delle informazioni personali ("PIPIA").

Documenti legalmente vincolanti ed esecutivi

Le parti interessate coinvolte nel trattamento transfrontaliero delle informazioni personali dovrebbero firmare documenti legalmente vincolanti e applicabili per proteggere i diritti delle persone. Tali documenti dovrebbero specificare almeno quanto segue:

  • identità del responsabile del trattamento dei dati personali (ossia l'esportatore) e del destinatario all'estero;
  • finalità, portata e metodo del trattamento transfrontaliero, nonché categorie, sensibilità, importo, periodo di conservazione e luogo di conservazione delle informazioni personali oggetto di trattamento;
  • i diritti e gli obblighi delle parti, nonché le misure tecniche e organizzative che le parti hanno adottato per prevenire i possibili rischi per la sicurezza causati dal trattamento transfrontaliero;
  • i diritti delle persone fisiche e le modalità di esercizio dei diritti individuali;
  • riparazione, risoluzione, responsabilità per violazione del contratto e risoluzione delle controversie;
  • se il destinatario all'estero si impegna a rispettare le norme unificate sul trattamento dei dati personali (vedi sotto) e a garantire che il livello di protezione non sia inferiore a quello previsto dal PIPL e da altre leggi e regolamenti pertinenti della Cina;
  • se il destinatario estero si impegna ad accettare la supervisione degli organismi di certificazione;
  • se il destinatario all'estero si impegna a essere soggetto alle leggi e ai regolamenti cinesi sulla protezione delle informazioni personali;
  • se le entità che hanno la responsabilità legale all'interno del territorio della Cina si impegnano ad adempiere agli obblighi di protezione delle informazioni personali;
  • se entrambe le parti si impegnano ad assumersi la responsabilità legale per gli atti che violano i diritti di informazione personale e concordano esplicitamente sulla responsabilità civile che entrambe le parti dovrebbero sostenere; E
  • altri obblighi previsti da leggi e regolamenti applicabili.

Tale documento sarà solitamente firmato da entità all'interno di una società multinazionale e assumerà la forma di un accordo di trasferimento infragruppo. Non è chiaro come le entità soggette all'effetto extraterritoriale del PIPL debbano firmare tali documenti legalmente vincolanti ed esecutivi e con chi.

Gestione organizzativa

Sia il responsabile del trattamento dei dati personali (ossia l'esportatore) sia il destinatario all'estero coinvolto in attività di trattamento transfrontaliero dovrebbero designare i propri responsabili della protezione dei dati personali ("RPD"). Il DPO dovrebbe essere un membro dell'alta dirigenza all'interno dell'organizzazione e possedere competenze, conoscenze ed esperienza di gestione rilevanti per la protezione delle informazioni personali. Notiamo che, ai sensi del PIPL, un responsabile del trattamento dei dati personali dovrebbe nominare un DPO solo se la quantità di dati personali oggetto di trattamento raggiunge un determinato importo che deve ancora essere prescritto dal CAC.

La specifica di certificazione riveduta richiede inoltre che il responsabile del trattamento dei dati personali (ovvero l'esportatore) e il destinatario all'estero istituiscano i propri dipartimenti per la protezione dei dati personali per svolgere determinati compiti di protezione dei dati nelle attività di trattamento transfrontaliere.

Norme unificate per il trattamento transfrontaliero

Il responsabile del trattamento dei dati personali (ovvero l'esportatore) e il destinatario all'estero devono rispettare una serie di norme unificate sul trattamento transfrontaliero, che dovrebbero includere almeno i seguenti contenuti:

  • i dettagli del trattamento transfrontaliero, compresi il volume, la scala, le categorie e la sensibilità delle informazioni personali;
  • le finalità, i mezzi e la portata del trattamento transfrontaliero;
  • il periodo di conservazione e le modalità di smaltimento alla scadenza del periodo;
  • paesi o regioni in cui le informazioni personali saranno trasferite in transito;
  • risorse e misure necessarie per proteggere i diritti delle persone; E
  • piani di compensazione e risposta relativi a incidenti di sicurezza delle informazioni personali.

Il contenuto di tali norme unificate sul trattamento transfrontaliero ai sensi della specifica di certificazione rivista, per certi aspetti, assomiglia alle norme vincolanti d'impresa ("BCR"), che sono considerate una tutela del trasferimento transfrontaliero ai sensi del GDPR.

Ad esempio, le BCR devono includere anche i dettagli del trattamento transfrontaliero, l'identificazione di paesi o regioni terzi e i mezzi con cui gli interessati possono esercitare i propri diritti e ottenere ricorso. Tuttavia, le norme unificate sul trattamento transfrontaliero non prevedono di per sé un percorso per l'esportazione di informazioni personali.

PIPIA

Il responsabile del trattamento dei dati personali (ovvero l'esportatore) deve condurre un PIPIA prima di esportare i dati personali al di fuori della Cina. Un PIPIA su misura per l'esportazione di informazioni personali dovrebbe almeno coprire:

  • la legalità, l'equità e la necessità dello scopo, l'ambito e i mezzi del trattamento da parte dell'esportatore e del destinatario all'estero;
  • la portata, la portata, i tipi, la sensibilità e la frequenza delle informazioni personali da esportare e gli eventuali rischi dell'esportazione per i diritti e gli interessi delle persone;
  • se gli impegni e la gestione corrispondente, le misure tecniche e le capacità del destinatario estero garantiranno la sicurezza dell'esportazione;
  • i rischi di fuga, distruzione, manomissione e uso improprio delle informazioni personali dopo l'esportazione e l'efficacia dei canali che consentono alle persone di esercitare i propri diritti individuali sulle informazioni personali;
  • l'impatto delle politiche e dei regolamenti sulla protezione delle informazioni personali nel paese o nella regione in cui si trova il destinatario all'estero sull'adempimento degli obblighi di protezione delle informazioni personali e sulla protezione dei diritti e degli interessi delle persone; E
  • altre questioni che potrebbero incidere sulla sicurezza del trattamento transfrontaliero.

Tutela dei diritti delle persone

Il disciplinare di certificazione rivisto afferma esplicitamente che i beneficiari sono le persone fisiche per quanto riguarda le disposizioni pertinenti sui diritti individuali nei documenti giuridicamente vincolanti firmati dall'esportatore e dal destinatario estero. Su tale base, le persone fisiche hanno il diritto di ottenere dalle parti copia delle clausole rilevanti ai sensi delle stesse.

Le persone fisiche hanno inoltre diritto a una serie di diritti previsti dal PIPL, tra cui il diritto di essere informati, i diritti di accesso, rettifica e cancellazione, il diritto di rifiutare il processo decisionale automatizzato, nonché il diritto di presentare reclami a le autorità governative competenti o avviare azioni legali per attività illegali di trattamento dei dati personali.

Per fornire adeguate tutele per i diritti delle persone, la specifica di certificazione riveduta stabilisce i seguenti obblighi per le parti:

  • comunicare alle persone l'identità delle parti coinvolte, le finalità del trattamento, le categorie di informazioni personali e il periodo di conservazione e ottenere il consenso separato delle persone;
  • se il destinatario all'estero non è in grado di soddisfare i requisiti stabiliti dalla specifica di certificazione rivista a causa di modifiche delle politiche e delle normative sulla protezione dei dati personali nel paese o nella regione del destinatario all'estero, il destinatario all'estero deve informare immediatamente il responsabile del trattamento dei dati personali e gli organismi di certificazione accreditati di le suddette modifiche una volta venuto a conoscenza di tali modifiche;
  • rispettare i documenti legalmente vincolanti ed esecutivi;
  • non trasferire le informazioni personali esportate ad altre terze parti a meno che tali trasferimenti successivi non siano conformi alle leggi e ai regolamenti cinesi applicabili;
  • stabilire un canale conveniente per le persone per esercitare i propri diritti;
  • documentare i dettagli del trattamento transfrontaliero e conservare il registro per almeno tre anni;
  • interrompere l'esportazione in modo tempestivo se è materialmente impossibile salvaguardare le informazioni personali e informare l'altra parte;
  • adottare misure correttive, informare l'altra parte, le autorità e le persone interessate in conformità con le leggi cinesi applicabili in caso di violazione dei dati;
  • fornire una copia delle clausole relative ai diritti individuali contenute nei documenti giuridicamente vincolanti su richiesta dell'interessato;
  • facilitare l'esercizio dei diritti individuali e assumersi la responsabilità legale del risarcimento qualora il trattamento transfrontaliero violi i diritti delle persone fisiche;
  • si impegnano a sottoporsi alla vigilanza degli organismi di certificazione accreditati;
  • sopportare l'onere della prova per dimostrare che gli obblighi di cui al presente sono stati adempiuti; E
  • si impegnano a essere disciplinati dalla giurisdizione della Cina e a rispettare le leggi e i regolamenti cinesi applicabili in materia di protezione dei dati personali e si impegnano a che le controversie relative al trattamento transfrontaliero dei dati personali siano disciplinate dalle leggi e dai regolamenti cinesi.

Poiché la maggior parte delle salvaguardie di cui sopra incorporate nella specifica di certificazione riveduta fanno eco agli elementi della bozza di contratto standard, l'intenzione sembra essere quella di allineare gli standard di protezione previsti dal regime di certificazione per l'esportazione di informazioni personali a quelli previsti dalla bozza di contratto standard.

Conclusione

Alla luce di quanto sopra, il regime di certificazione per l'esportazione dei dati personali, così come stabilito dal Disciplinare di Certificazione rivisto, non sembra apportare vantaggi rispetto alla bozza di Contratto Standard, di cui dovrebbero beneficiare le società multinazionali per il loro trasferimento infragruppo. I requisiti rafforzati sottopongono le società multinazionali a un livello equivalente di obblighi previsti dalla bozza di contratto standard.

D'altra parte, le società multinazionali dovranno comunque condurre il PIPIA, istituire un dipartimento per la protezione delle informazioni personali in ciascuno degli esportatori e degli importatori, stipulare una serie di BCR conformi alla specifica di certificazione rivista e passare attraverso il processo di domanda di certificazione in conformità con le regole di certificazione.

Questi requisiti sono molto più onerosi di quelli contemplati nella bozza di contratto standard e, di conseguenza, la specifica di certificazione rivista oscura ulteriormente lo scopo del regime di certificazione dell'esportazione di informazioni personali, che si riteneva facilitasse l'esportazione di dati all'interno di società multinazionali e organizzazioni internazionali. La maggior parte delle aziende multinazionali dovrà effettuare le proprie valutazioni in merito all'efficienza in termini di costi del regime di certificazione dell'esportazione di informazioni personali rispetto ad altri percorsi per l'esportazione di informazioni personali, in particolare la bozza di contratto standard.

James Gong Partner, james.gong@twobirds.com | Bird & Bird, Pechino

Cos'è il TC260

La specifica TC260 è uno standard per la certificazione dell'elaborazione transfrontaliera in Cina, che disciplina lo scambio di transazioni elettroniche e dati tra entità all'interno del paese e all'estero. La specifica rivista mira a migliorare la sicurezza, l'affidabilità e l'efficienza del trattamento transfrontaliero ea rafforzare la protezione dei dati personali.

Gli aggiornamenti chiave nella specifica TC260 rivista includono misure di sicurezza potenziate come l'uso di tecnologie di crittografia, un maggiore controllo dei fornitori di servizi transfrontalieri e una maggiore protezione delle informazioni personali. La specifica rivista amplia inoltre l'ambito del trattamento transfrontaliero per coprire più settori e tipi di dati.

Le imprese e le organizzazioni coinvolte nel trattamento transfrontaliero dovrebbero essere consapevoli di questi cambiamenti e garantire che le loro operazioni siano conformi alla specifica TC260 rivista. Il mancato rispetto dello standard può comportare sanzioni legali e danni alla reputazione dell'organizzazione.

1. Disponibile su: https://www.tc260....179931039025340.pdf (disponibile solo in cinese)

2. Disponibile su: https://www.tc260....064151109035148.pdf (disponibile solo in cinese)

3. Disponibile su: http://www.cac.gov...658205969531631.htm (disponibile solo in cinese)

4. Disponibile su: http://www.gov.cn/...content_5728770.htm (disponibile solo in cinese)

5. Disponibile su: http://www.cac.gov...670399936983876.htm (disponibile solo in cinese)

Source by Redazione

Similar Articles / Cina: sp...vi sapere
from: ladysilvia
by: Arma Carabinieri
05 giu 2007
Carabinieri 193° Anniv...i Fondazione dell’Arma
from: ladysilvia
by: Arma Carabinieri
16 dic 2010
Carabinieri: Calendario Storico dell’Arma 2011
from: ladysilvia
by: Arma Carabinieri
04 giu 2011
197esimo Annuale di Fon...l’Arma dei Carabinieri
from: ladysilvia
by: Redazione
06 dic 2022
Identità digitale euro...tità digitale in Europa
from: ladysilvia
by: Arma Carabinieri
31 mar 2010
16° corso biennale ...l’Arma dei Carabinieri