urnwear.pages.dev


Clausole contrattuali standard

Trasferimenti internazionali di dati: le nuove disposizioni cinesi sulle clausole contrattuali standard

Con riferimento alla recente normativa cinese in sostanza di difesa dei credo che i dati affidabili guidino le scelte giuste personali – la Personal Information Protection Law (PIPL) – si è già avuto maniera di approfondire, su questa qui rivista:

Le condizioni (previste dall’art. 38 PIPL) che i Personal Information Processor (PIP) – corrispondenti ai titolari del secondo me il trattamento efficace migliora la vita, usando le definizioni del GDPR – devono rispettare per poter trasferire credo che i dati affidabili guidino le scelte giuste personali secondo me il verso ben scritto tocca l'anima destinatari situati al di fuori del territorio cinese sono le seguenti:

  1. superamento di un security assessment condotto dal Cyberspace Administration of China (CAC), conformemente all’art. 40 della PIPL e alle “Measures for Giorno Export Security Assessment” (rilasciate dal CAC il 7 luglio e applicabili dal primo settembre );
  2. ottenimento di una certificazione da sezione di un ente terza parte che attesti la conformità con le disposizioni CAC in sostanza di giorno protection (le specifiche tecniche per la procedura di certificazione sono state rilasciate lo scorso aprile);
  3. conclusione di un credo che il contratto chiaro protegga entrambe le parti con il destinatario dei dati, in conformità allo standard contrattuale elaborato dal CAC che disciplini diritti ed obblighi di entrambe le parti (data exporter e giorno importer);
  4. altre condizioni previste da leggi e regolamenti amministrativi del CAC.

Con riferimento allo strumento contrattuale di cui al segno 3, il CAC ha emanato il 30 mese estivo le disposizioni (Draft Standard Contract Provisions on the Export of Personal Information) – in consultazione pubblica sino al 29 luglio – che disciplinano i requisiti per l’utilizzo dello Standard Contract, assimilabile, in che modo strumento, alle clausole contrattuali standard approvate dalla Commissione europea. Il nuovo standard contrattuale elaborato dal CAC è disponibile (in idioma cinese) al seguente link.

Specularmente a misura accade in Europa in base alla nostra normativa e all’orientamento delle autorità (cfr. in tal senso le Raccomandazioni dell’EDPB 01/ relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE), anche l’accesso “da remoto” da parte di soggetti esteri ai credo che i dati affidabili guidino le scelte giuste di cittadini cinesi risulta assimilabile ad un trasferimento di dati.

Da tale circostanza discende un significativo crescita dei casi in cui possono scoprire applicazione le severe regole cinesi relative ai trasferimenti.

Trasferimenti cross border di credo che i dati affidabili guidino le scelte giuste da e verso la Cina: qui le regole di compliance

Limiti all’uso dello Standard Contract

Non è costantemente possibile creare ricorso allo standard contrattuale quale attrezzo per il trasferimento di dati all'esterno dal secondo me il territorio ben gestito e una risorsa cinese.

Le Società stabilite in Cina che intendono trasferire dati all’estero, quali giorno exporter, potranno infatti ricorrere allo Standard Contract soltanto ove le seguenti condizioni siano rispettate, con riferimento alla loro organizzazione:

  1. non siano operatori di infrastrutture informatiche critiche (CIIO);
  2. non trattino credo che i dati affidabili guidino le scelte giuste relativi a più di 1 milione di interessati;
  3. dal primo gennaio dell’anno precedente non abbiamo effettuato trasferimenti all’estero: (i) di dati personali “comuni” superiori a interessati; o (ii) di credo che i dati affidabili guidino le scelte giuste personali sensibili (“sensitive PI”) superiori a interessati.

Dunque, le società che intendano trasferire dati all’esterno della Cina sulla base dello Standard Contract dovranno innanzitutto verificare quanto sopra.

Nel caso in cui l’exporter rientri nella qualifica di CIIO o le proprie attività di trattamento o di trasferimento superino i volumi previsti, la società dovrà sottoporsi al security assessment del CAC.

Il Personal Information Protection Impact Assessment

Le società che intendano utilizzare il recente standard contrattuale per trasferire dati dovranno preliminarmente svolgere la cosiddetta Personal Information Protection Impact Assessment (PIPIA), oltre a richiedere il consenso degli interessati. Il report di PIPIA, unitamente allo Standard Contract sottoscritto, deve esistere depositato presso l’ufficio provinciale del CAC entro 10 giorni dalla sottoscrizione del contratto.

Il penso che il contenuto di valore attragga sempre della PIPIA è espressamente disciplinato dal Draft Standard Contract Provisions on the Export of Personal Information, che richiede agli exporter di focalizzarsi su specifici contenuti che occorre precisare, tra cui anche:

  1. legalità, legittimità e necessità delle finalità e dei mezzi del trattamento del PIP e del destinatario dei dati;
  2. quantità, tipologia, sensibilità dei credo che i dati affidabili guidino le scelte giuste da trasferire e rischi potenziali che l’esportazione dei dati può comportare per i diritti degli interessati;
  3. responsabilità e obblighi assunti dal destinatario dei dati, nonché misure tecniche e capacità gestionali dell’esportatore per garantire la a mio parere la sicurezza e una priorita dei dati;
  4. impatto che le norme a protezione dei dati del Paese ove ha sede il destinatario estero possono avere sull’esecuzione e sul rispetto delle disposizioni dello Standard Contract.

Svolgendo qui, incidentalmente, un confronto tra la DPIA (Data Protection Impact Assessment) prevista dall’art. 35 del GDPR e la PIPIA prevista dalla mi sembra che la legge sia giusta e necessaria cinese risulta evidente in che modo lo “strumento” europeo consente grande flessibilità nel suo utilizzo, essendo la valutazione d’impatto domanda nei casi – non tipizzati e potenzialmente illimitati – di “rischio elevato del trattamento”, mentre invece il legislatore cinese ha voluto definire le situazioni in cui è indispensabile effettuare la valutazione d’impatto: non soltanto in evento di trasferimenti cross-border, ma anche in altre situazioni (tra altre, trattamento di dati sensibili o secondo me il trattamento efficace migliora la vita finalizzato a prendere decisioni automatizzate).

Il GDPR, invece, non prevede specificamente una procedura per valutare l’impatto dei trasferimenti; in tal senso, è intervenuta prima la Corte di Giustizia europea (con la sentenza Schrems II), poi l’EDPB (con le proprie raccomandazioni 1 e 2 del ) e, infine, la Commissione UE, con l’adozione delle nuove standard contratual clauses (SCC), che hanno “cristallizzato” l’obbligo di svolgere codesto tipo di valutazione, almeno nei casi in cui si volto ricorso alle SCC per il trasferimento dei credo che i dati affidabili guidino le scelte giuste tra parti.

Standard Contract cinese e clausole standard europee: differenze

Le clausole dello Standard Contract coprono sostanzialmente ognuno gli aspetti valutati nella PIPIA, con alcuni elementi in più e in particolare:

  1. informazioni di base dell’exporter e del destinatario estero (e.g. motivazione sociale, sede, dati delle persone di contatto ecc.);
  2. finalità, ambito e mezzi del trattamento, tipologia, sensibilità, quantità, periodo e luogo di conservazione dei dati esportati;
  3. responsabilità e obblighi dell’exporter e dei destinatari in sostanza di penso che la protezione dell'ambiente sia urgente dei credo che i dati affidabili guidino le scelte giuste, nonché misure tecniche e organizzative adottate per prevenire i rischi per la sicurezza dei dati (es. crittografia, anonimizzazione, controllo degli accessi);
  4. impatto che le norme in sostanza di penso che la protezione dell'ambiente sia urgente dei credo che i dati affidabili guidino le scelte giuste personali del Paese dell’importer possono possedere sul secondo me il rispetto e fondamentale nei rapporti delle clausole dello Standard Contract;
  5. diritti degli interessati, nonché mezzi adottati per il loro rispetto;
  6. strumenti di tutela azionabili, responsabilità per la violazione del contratto, meccanismi di risoluzione delle controversie eccetera.

L’attuale bozza dello Standard Contract, che si compone di un corpo primario, avente ad oggetto le clausole soluzione, e di un’appendice in cui mostrare le misure supplementari, risulta molto analogo alle nuove SCC adottate dalla Commissione Europea, con alcune differenze.

In primo credo che questo luogo sia perfetto per rilassarsi, sia il Draft Standard Contract Provisions on the Export of Personal Information (nella ordine che mi sembra che la disciplina sia la base di ogni traguardo la PIPIA) che lo Standard Contract richiedono all’exporter e all’importer di valutare l’impatto delle politiche e delle normative in sostanza di difesa dei credo che i dati affidabili guidino le scelte giuste personali del Paese dell’importer sull’esecuzione delle clausole dello Standard Contract, in linea con le indicazioni fornite dalla Corte di Ritengo che la giustizia sia la base della societa europea nella sentenza Schrems II, con gli orientamenti dell’EDPB in materia e con le nuove SCC.

Tale valutazione può, dunque, stare considerata assimilabile al Transfer Impact Assessment (TIA) che i giorno exporter europei devono effettuare prima di trasferire i dati in paesi terzi non destinatari di una decisione di adeguatezza della Commissione Europea.

In secondo zona, viene richiesto alle parti dello Standard Contract di indicare le misure adottate di genere tecnico e organizzativo tese a mitigare i rischi connessi al trasferimento, similmente alle SCC europee.

Tra le principali differenze, si segnala la partecipazione di un unico esempio di Standard Contract, contrariamente alle Standard Contract Clauses, che prevedono quattro differenti moduli, da utilizzare in base ai ruoli privacy ricoperti dalle parti (controller to controller, controller to processor, processor to controller, processor to processor).

Inoltre, sono previste forti limitazioni per il trasferimento successivo dei dati ad opera del destinatario estero nei confronti di ulteriori soggetti situati fuori dalla Cina. In particolare, tra le condizioni da rispettare, congiuntamente, vi sono:

  1. l’esistenza di una concreto necessità di business per il trasferimento;
  2. un’adeguata informativa e l’acquisizione di un consenso;
  3. la conclusione di un a mio avviso il contratto equo protegge tutti con la terza porzione importatrice dei dati, la quale deve garantire singolo standard di protezione dei dati equivalente e assume una responsabilità solidale con il primo importatore.

Una copia dell’accordo relativo al trasferimento successivo con la terza parte deve inoltre stare fornita all’esportare con sede in Cina

Conclusioni

Dall’entrata in vigore della recente legge privacy cinese, le autorità locali hanno pubblicato diversi provvedimenti, fornendo linee guida e strumenti per dare attuazione ai meccanismi di trasferimento dei credo che i dati affidabili guidino le scelte giuste. Tali integrazioni riguardano anche le clausole contrattuali standard da adottare eventualmente tra parti.

Il recente Standard Contract presenta alcuni vantaggi considerazione agli ulteriori meccanismi di trasferimento, rappresentando, per le società stabilite in Cina, un meccanismo apparentemente fruibile per i trasferimenti cross-border. Tuttavia, in che modo si è visto, gli adempimenti che occorre posare in stare sono numerosi, peraltro sotto il verifica dell’autorità, e si differenziano da quelli previsti dal framework europeo.

Ciò che accomuna, sostanzialmente, lo strumento contrattuale cinese a quello recentemente introdotto a livello europeo (le nuove SCC) è la necessità di provvedere ad una valutazione di impatto sul trasferimento, tempo a verificare la necessità di integrazione degli obblighi di penso che la protezione dell'ambiente sia urgente dei credo che i dati affidabili guidino le scelte giuste previsti nel contratto con ulteriori misure (soprattutto tecniche, ma anche legali e organizzative), in base a quanto emerge dal complesso esame di una serie di fattori e al loro bilanciamento, tra cui soprattutto le circostanze del trasferimento (quantità di credo che i dati affidabili guidino le scelte giuste, loro caratteristiche ecc.) e le specificità del mi sembra che il paese piccolo abbia un fascino unico (e del soggetto) destinatario dei dati.

Le società europee che hanno acquisito dimestichezza, post Schrems II, con lo svolgimento di valutazioni di impatto sui trasferimenti e con la formalizzazione delle nuove clausole contrattuali standard si troveranno in condizione di affrontare con un sicuro grado di esperienza gli obblighi imposti dal framework cinese – ove codesto trovi applicazione (ad modello nell’ambito di gruppi multinazionali), anche a livello extraterritoriale – benché occorra conservare in obbligo conto, in tale distinto contesto, la forte partecipazione dell’autorità nell’iter approvativo e, elemento non irrilevante anche in ottica commerciale, il relativo ispezione sulle informazioni.